ĐAHK FOREFRONT TMG LỜI CẢM ƠN Sau thời gian năm học tập, dẫn nhiệt tình, giúp đỡ quý thầy cô trường Cao Đẳng Công Nghệ Và Quản Trị SONADEZI, đặc biệt thầy cô Khoa Công Nghệ Thông Tin, với thời gian ba tháng nghiên cứu học tập nhà, em học học kinh nghiệm quý báu giúp ích cho thân, để em hoàn thành đề tài nghiên cứu triển khai hệ thống tường lửa Forefront TMG 2010 Em xin chân thành cảm ơn giúp đỡ nhiệt tình thầy, cô khoa Công Nghệ Thông Tin trường Cao Đẳng Công Nghệ Và Quản Trị SONADEZI, đặc biệt em xin gửi lời biết ơn sâu sắc đến thầy Huỳnh Phước Danh trực tiếp hướng dẫn em suốt thời gian làm đề tài Tuy nhiên, hạn hẹp kiến thức thời gian nên đề tài đồ án khó tránh sai sót, khuyết điểm Em mong nhận đóng góp ý kiến thầy, cô khoa Công Nghệ Thông Tin Cuối em xin kính chúc quý thầy cô khoa Công Nghệ Thông Tin, thầy Huỳnh Phước Danh dồi sức khỏe thành công công việc Em xin chân thành cảm ơn! Sinh viên thực Nguyễn Minh Tiến GVHD: HUỲNH PHƯỚC DANH ĐAHK FOREFRONT TMG NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Biên hòa, ngày , tháng , năm 2015 Giáo viên hướng dẫn (Ký ghi rõ họ tên) GVHD: HUỲNH PHƯỚC DANH ĐAHK FOREFRONT TMG DANH MỤC HÌNH DANH MỤC BẢNG DANH MỤC CÁC CHỮ VIẾT TẮT • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • ADLDS: Active Directory Lightweight Directory Services ADSL: Asymmetric Digital Subscriber Line API: Application Programming Interface CPU: Central Processing Unit DNS: Domain Name System HDD: Hard Disk Drive HTTPS: Hypertext Transfer Protocol Secure IP: Internet Protocol ISA: Internet Security and Acceleration ISP: Internet Service Provider LAN: Local Area Network NAP: Network Access Protection NAT: Network Address Translation NDIS: Network Driver Interface Specification NIC: Network interface controller NIS: Network Information Service NLB: Network Load Balancing RDB: Remote Database RPC: Remote Procedure Call SIP: Session Initiation Protocol SP1: Service Pack SSL: Secure Sockets Layer SSTP: Secure Socket Tunneling Protocol TCP: Transmission Control Protocol TFTP: Trivial File Transfer Protocol TMG: Threat Management Gateway UI: User interface URL: Uniform Resource Locator VLAN: Virtual Local Area Network WAN: Wide Area Network VPN: Virtual Private Network GVHD: HUỲNH PHƯỚC DANH ĐAHK FOREFRONT TMG PHẦN MỞ ĐẦU Lý chọn đề tài Ngày nay, máy tính mạng internet phổ biến rộng rãi, tổ chức, cá nhân có nhu cầu sử dụng máy tính mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính không quản lý dể dàng bị công, gây hậu nghiêm trọng Xác định tầm quan trọng việc bảo mật hệ thống mạng doanh nghiệp nên em chọn nghiên cứu đề tài “Nghiên cứu triển khai hệ thống tường lửa Forefont TMG 2010” với mục đích tìm hiểu sâu sắc chế hoạt động phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp vận hành trơn tru, an toàn hạn chế cố sảy Mục đích nghiên cứu Nghiên cứu hệ thống filewall với Forefront TMG 2010 Triển khai hệ thống filewall với Forefront TMG 2010 cho doanh nghiệp vừa nhỏ Đối tượng nghiên cứu Nghiên cứu mô hình hệ thống filewall với Forefront TMG 2010 Nghiên cứu triển khai hệ thống filewall với Forefront TMG 2010 cho doanh nghiệp vừa nhỏ Phương pháp nghiên cứu Dưới hướng dẫn giảng viên hướng dẫn Tìm hiểu tài liệu liên quan Forefront TMG 2010 hệ thống filewall với Forefront TMG 2010 Triển khai thực nghiệm mô hình hệ thống mạng để kiểm chứng lý thuyết nghiên cứu GVHD: HUỲNH PHƯỚC DANH ĐAHK GVHD: HUỲNH PHƯỚC DANH FOREFRONT TMG ĐAHK FOREFRONT TMG CHƯƠNG 1: TỔNG QUAN FOREFRONT TMG 2010 1.1 Giới thiệu Forefront TMG 1.1.1 Giới thiệu chung Sự xuất Microsoft Forefront TMG 2010 mang lại nhiều điều thú vị có nhiều lý thuyết phục cho việc nâng cấp từ phiên Microsoft ISA Server trước Một số tính bảo mật có sản phẩm, chẳng hạn lọc URL, chống virus web, chống malware, chuyển tiếp SSL, hệ thống phát ngăn chặn xâm nhập hoàn toàn mới, khả bảo vệ email Bên cạnh có vô số thứ khác thay đổi phép nhiệm vụ quản lý hàng ngày TMG trở nên dễ dàng 1.1.2 Lịch sử TMG 2010 Khi nhắc đến tường lửa dành cho doanh nghiệp, hầu hết có chút kiến thức IT liên tưởng đến ISA, phần mềm tường lửa tiếng Microsoft, nhiên phiên cuối ISA dừng lại version 2006 Phiên hệ thống tường lửa gọi với tên khác: Forefront Threat Management Gateway Tường lửa TMG bao gồm toàn chức ISA, nhiên có thêm nhiều cải tiến đáng kể giao diện hiệu trình đảm nhiệm chức tường lửa Trước kia, Microsoft đưa phiên software firewall ISA 2004, ISA 2006 phiên firewall hổ trợ hệ điều hành trước như: Windows Server 2000, Windows XP, Windows Server 2003 mà không hổ trợ hệ điều hành Microsoft như: Windows 7, Windows Server 2008 Vì để cài đặt tường lửa hệ điều hành Windows hay Windows Server 2008 phải sử dụng đến software Microsoft Microsoft Forefront Threat Management Gateway 2010 1.1.3 Quá trình phát triển Forefront TMG 2010 Quá trình phát triển Microsoft Forefront TMG 2010 trải qua giai đoạn phát triển sau GVHD: HUỲNH PHƯỚC DANH ĐAHK FOREFRONT TMG • • 1-1997: Microsoft Proxy Server v1.0 (Catapult) 18-03-2001: Microsoft Internet Security and Acceleration Server 2000 (ISA • Server 2000) 08-09-2004: Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004) • 17-10-2006: Microsoft Internet Security and Acceleration Server 2006 (ISA • Server 2006) 17-11-2009: Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) Hình 1.1: Sơ đồ phát triển Forefront TMG 2010 1.2 Các chức Forefront TMG 2010  Firewall: Kiểm soát gói tin truy cập từ nội bên internet ngược lại  Secure Web Gateway: Bảo vệ người dùng mối đe dọa truy cập web  Secure Email Relay: Bảo vệ người dùng mối đe dọa từ email độc hại  Remote Access Gateway: Hổ trợ người dùng truy cập từ xa để sử dụng dịch vụ tài nguyên nội  Intrusion Prevention: Phòng chống công xâm nhập từ bên 1.3 Các tính trội Forefront TMG 2010 GVHD: HUỲNH PHƯỚC DANH ĐAHK FOREFRONT TMG Hình 1.2: Các tính Forefront TMG 2010  Enhanced Void over IP: Cho phép kết nối & sử dụng VoIP thông qua TMG  ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền internet  Web anti-malware: quét virus, phần mềm độc hại & mối đe dọa khác truy cập web  URL filtering: cho phép cấm truy cập trang web theo danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat…  HTTPS inspection: kiểm soát gói tin mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ SSL Certificate  E-mail protection subscription service: tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail hệ thống Mail Exchange  Network Inspection System (NIS): ngăn chặn công dựa vào lỗ hổng bảo mật  Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình trạng an toàn client trước cho phép client kết nối VPN  Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPNSSTP Để cài đặt TMG Firewall bạn cần trang bị máy tính chạy hệ điều hành Windows Server 2008 64 bit Đây hạn chế TMG Vì khác với Windows Server 2003 Windows Server 2008 kén máy chủ Nếu Server 2003 GVHD: HUỲNH PHƯỚC DANH ĐAHK FOREFRONT TMG hoàn toàn lấy máy tính thường, cấu hình tương đối cài đặt được, hổ trợ Driver nhiều, Server 2008 khó để thực việc tương tự Tuy nhiên bù lại TMG có chức hữu ích, chức gở rối Troubleshooting Chức giúp cho người dùng không chuyên quản trị dể dàng TMG, gặp trục trặc cần am hiểu chút Tiếng Anh Tiếng Anh chuyên ngành tự gỡ rối, sửa chữa cố phát sinh mà không cần đến IT chuyên nghiệp can thiệp 1.4 Giao diện Forefront TMG 2010 Rule Base Search: Tính tìm kiếm có giao diện quản lý TMG làm cho việc quản lý số lượng lớn rule trở nên đơn giản Nếu muốn hiển thị rule sử dụng giao thức DNS, bạn cần nhập cụm từ “DNS” vào hộp tìm kiếm kích biểu tượng kình lúp để thực thi tìm kiếm Hình 1.3: Giao diện rule sử dụng giao thức DNS Có số cách để xây dựng truy vấn Ta chọn tên, cặp name:value cặp property:value Để có thêm thông tin, ta kích liên kết Examples bên cạnh hộp tìm kiếm Web Access Policy: Nút Web Access Policy giao diện hiển thị khung nhìn hợp rule truy cập web cấu hình TMG GVHD: HUỲNH PHƯỚC DANH ĐAHK FOREFRONT TMG Hình 1.4: Giao diện cấu hình truy cập web Ở ta tạo tuyến tĩnh (network topology routes) Không cần kết nối đến mổi TMG firewall cách riêng rẽ nhập vào lệnh route từ dòng lệnh Để thêm vào tuyến tĩnh, kích liên kết Create Network Topology Route panel nhiệm vụ Hình 1.5: Giao diện tuyến tĩnh Ở bạn nhắc nhở cho việc cấu hình thiết lập mạng hệ thống, định nghĩa tùy chọn triển khai Nếu cần tạo thay đổi cấu hình đáng kể cho hệ thống định nghĩa lại tùy chọn triển khai, bạn chạy wizard lần cách kích nút giao diện sau chọn tab Tasks panel nhiệm vụ kích liên kết Launch Getting Started Wizard GVHD: HUỲNH PHƯỚC DANH 10 ĐAHK FOREFRONT TMG Hình 2.13: Giao diện Forefront TMG Bước 2: Đặt tên DNS -> Next Hình 2.14: Màn hình thiết lập access rule Bước 3: Check vào Allow -> Next GVHD: HUỲNH PHƯỚC DANH 28 ĐAHK FOREFRONT TMG Hình 2.15: Màn hình rule action Bước 4: : Màn hình Protocols, chọn selected Protocols -> click Add Hình 2.16: Màn hình protocols Bước 5: Chọn DNS Add -> Close -> Next GVHD: HUỲNH PHƯỚC DANH 29 ĐAHK FOREFRONT TMG Hình 2.17: Màn hình add protocols Bước 6: Màn hình Access Rule Source -> Click Add Hình 2.18: Màn hình access rule sources Bước 7: Chọn Interal -> Add -> Close -> Next GVHD: HUỲNH PHƯỚC DANH 30 ĐAHK FOREFRONT TMG Hình 2.19: Màn hình add network entities Bước 8: Màn hình Access Rule Destination -> Click Add Hình 2.20: Màn hình access rule destinations Bước 9: Chọn External -> Add -> Close -> Next -> Finish GVHD: HUỲNH PHƯỚC DANH 31 ĐAHK FOREFRONT TMG Hình 2.21: Màn hình add network entities Bước 10: Click Apply để hoàn thành cấu hình DNS TMG Hình 2.22: Giao diện Forefront TMG Bước 11: Tiến hành kiểm tra phân giải tên miền bên máy DC: Vào run-> nslookup • • Gõ google.com Gõ vnexpress Kết phân giải tên miền trang web GVHD: HUỲNH PHƯỚC DANH 32 ĐAHK FOREFRONT TMG Hình 2.23: Màn hình kiểm tra phân giải tên miền 2.4.4 Cấu hình Access Rule Sau cấu hình DNS thành công cần phải cấu hình Access Rule để truy cập internet Theo mặc định cài đặt hệ thống tường lửa thành công tường lửa khóa truy cập internet người quản trị thực thao tác tạo access rule cho phép truy cập Và bước tiến hành sau: Bước 1: Click chuột phải vào Firewall Policy -> New -> Access Rule GVHD: HUỲNH PHƯỚC DANH 33 ĐAHK FOREFRONT TMG Hình 2.24: Giao diện Forefront TMG Bước 2: Đặt tên -> Next Hình 2.25: Màn hình khởi tạo access rule GVHD: HUỲNH PHƯỚC DANH 34 ĐAHK FOREFRONT TMG Bước 3: Check vào Allow -> Next Hình 2.26: hình rule action Bước 4: Màn hình Protocols, chọn selected Protocols -> click Add GVHD: HUỲNH PHƯỚC DANH 35 ĐAHK FOREFRONT TMG Hình 2.27: Màn hình khởi tạo protocols Bước 5: Chọn HTTP HTTPS -> Add -> Close -> Next Hình 2.28: Màn hình add protocols Bước 6: Màn hình Malware Inspection, chọn Do not enable malware inspection for this rule -> Next GVHD: HUỲNH PHƯỚC DANH 36 ĐAHK FOREFRONT TMG Hình 2.29: Màn hình malware inspection Bước 7: Màn hình Access Rule Sources -> Add Internal -> Next Hình 2.30: Màn hình thiết lập access rule sources GVHD: HUỲNH PHƯỚC DANH 37 ĐAHK FOREFRONT TMG Bước 8: Màn hình Access Rule Desninations -> Add External -> Next -> Finish Hình 2.31: hình thiết lập access rule destinatinons Bước 9: Click Apply để hoàn thành cấu hình Access Rule TMG Hình 2.32: Giao diện Forefront TMG Bước 10: Sau lưu thay đổi xong, ta chuyển DNS lên để phân giải tên miền Kiểm tra máy DC: Truy cập trang web thành công GVHD: HUỲNH PHƯỚC DANH 38 ĐAHK FOREFRONT TMG Hình 2.33: Giao diện kiểm tra truy cập 2.4.5 Cấu hình chặn file download Sau cấu hình rule access internet ta cấu hình chặn file download từ máy client bên Các bước tạo rule sau: Bước 1: Click chuột phải vào Allow Access Internet chọn configure HTTP GVHD: HUỲNH PHƯỚC DANH 39 ĐAHK FOREFRONT TMG Hình 2.34: Giao diện Forefront TMG Bước 2: Qua thẻ Extensions ta chọn tap Block specified extensions (allow all others) Thêm vào ô Extension định dạng âm định đạng phần mềm sau check vào Block requests containing ambiguous extensions: • • • Mp3 Exe Sau click Apply GVHD: HUỲNH PHƯỚC DANH 40 ĐAHK FOREFRONT TMG Hình 2.35: Màn hình thiết lập đuôi chặn download Bước 2: Kiểm tra bên máy DC Download thử file exe mp3 ta thấy thông báo TMG cấm không cho download GVHD: HUỲNH PHƯỚC DANH 41 ĐAHK FOREFRONT TMG Hình 2.36: Màn hình kiểm tra download file GVHD: HUỲNH PHƯỚC DANH 42 [...]... trình điều khiển tường lửa TMG để lọc lưu lượng truy cập ở tầng hai và cung cấp hổ trợ VLAN và NIC Giống như tiền nhiệm của nó, TMG là một hệ thống phòng thủ vành đai nhiều lớp ngoài ra còn cung cấp truy cập từ xa Đa số các tính năng mới trong TMG được tập trung vào kịch bản proxyforward, tuy nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài nguyên trên Internet TMG hiện nay bao... tiếp trên tường lửa TMG, cũng như bảo vệ Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ chống phần mềm độc hại Những lợi thế của kịch bản triển khai này là cũng cố hệ thống cạnh và chính sách Email đơn giản hóa bằng cách sử dụng giao diện điều khiển quản lý TMG Sử dụng một mảng nhóm tường lửa TMG cũng cung cấp      cân bằng tải và khả năng chịu lổi cho việc chuyển tiếp... Forefront TMG và một số cấu hình thể hiện ý đồ quản trị Mô hình lab này kế thừa và phát triển từ mô hình Sever firewall TMG dùng hệ điều hành windows sever 2008 64 bit được bố trí giữa modem ADSL và máy server 2003 đã lên domain và một số máy client khác 2.3 Các bước triển khai     Cài đặt tường lửa TMG Cấu hình DNS trong TMG Cấu hình Access Rule Cấu hình chặn download file 2.4 Thực hiện 2.4.1 Cấu... ĐẶT VÀ CẤU HÌNH FORREFORNT TMG 2010 2.1 Mô hình Hình 2.1: Mô hình mạng triển khai Forefront TMG 2.2 Giới thiệu Khi kết nối một hệ thông mạng nội bộ với Internet, tất yếu phát sinh nhu cầu kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet Giải pháp thích hợp là sử dụng các Firewall Bài lab này giới thiệu việc cài đặt phần mềm Firewall của microsoft: Forefront TMG và một số cấu hình thể hiện... đặt Forefront TMG 2010 1.6.1 Yêu cầu phần cứng Trước khi cài đặt hệ thống tường lửa cho máy server thì ta cần đọc trước những yêu cầu phần cứng khi cài đặt: • • • Dung lượng RAM tối thiểu là 1GB Dung lượng HDD còn ít nhất 150MB Hệ điều hành được hổ trợ: Windows 7, Windows Server 2003, Windows Server 2008, Windows XP, TMG không hổ trợ trên Windows server 2012 • Forefront TMG phải chạy hệ điều hành Windows... 26 ĐAHK FOREFRONT TMG Hình 2.12: Màn hình reporting service Như vậy là quá trình cài đặt đã xong và sẳn sàng sử dụng 2.4.3 Cấu hình DNS trong TMG Bước 1: Mở TMG lên, click chuột phải vào Firewall Policy chọn New -> Access Rule GVHD: HUỲNH PHƯỚC DANH 27 ĐAHK FOREFRONT TMG Hình 2.13: Giao diện Forefront TMG Bước 2: Đặt tên là DNS -> Next Hình 2.14: Màn hình thiết lập access rule Bước 3: Check vào Allow... ĐAHK FOREFRONT TMG Bước 1: Chọn Run Installation Wizard Hình 2.2: Giao diện màn hình cài đặt Forefront TMG Bước 2: Cứ để mặc định và next cho tới bước này click Add GVHD: HUỲNH PHƯỚC DANH 18 ĐAHK FOREFRONT TMG Hình 2.3: Màn hình define internal network Bước 3: Click Add Adapter để thêm vào card mạng để quản lí qua mạng Internal Hình 2.4: Màn hình addresses GVHD: HUỲNH PHƯỚC DANH 19 ĐAHK FOREFRONT TMG. .. user name và password -> OK, sau đó check vào I do not want to use the Microsoft Update service -> Next -> Yes GVHD: HUỲNH PHƯỚC DANH 24 ĐAHK FOREFRONT TMG Hình 2.10: Màn hình thiết lập update cho Forefront TMG Bước 11: Màn hình customer feedback Check vào No, I don’t want to participate -> Next GVHD: HUỲNH PHƯỚC DANH 25 ĐAHK FOREFRONT TMG Hình 2.11: màn hình customer feed back Bước 12: Check vào None,... ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhất gần như vô dụng TMG có khả năng chấm dứt và giải mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập đầy đủ lớp sẽ diển ra  Bảo vệ Email nâng cao và bảo vệ Email mở rộng: TMG có thể tích hợp mật thiết với môi trường Exchange hiện tại của ta TMG hổ trợ trong việc cài đặt vai trò Exchange edge transport trực tiếp trên tường lửa TMG, cũng như... trong TMG  TFTP filter: Một TFTP mới làm đơn giản hóa quá trình cung cấp truy cập an toàn tới các máy chủ TFTP  Cải thiện trang thông báo lỗi với các dịch vụ mới nhất, xem và cảm nhận của trang báo lỗi được cải thiện nhiều Chúng cũng dễ dàng tùy biến GVHD: HUỲNH PHƯỚC DANH 13 ĐAHK FOREFRONT TMG Hình 1.8: So sánh chức năng giữa ISA Server 2006 với Forefront 2010 1.6 Yêu cầu hệ thống để cài đặt Forefront ... tượng nghiên cứu Nghiên cứu mô hình hệ thống filewall với Forefront TMG 2010 Nghiên cứu triển khai hệ thống filewall với Forefront TMG 2010 cho doanh nghiệp vừa nhỏ Phương pháp nghiên cứu Dưới... để hệ thống mạng doanh nghiệp vận hành trơn tru, an toàn hạn chế cố sảy Mục đích nghiên cứu Nghiên cứu hệ thống filewall với Forefront TMG 2010 Triển khai hệ thống filewall với Forefront TMG 2010. .. trọng Xác định tầm quan trọng việc bảo mật hệ thống mạng doanh nghiệp nên em chọn nghiên cứu đề tài Nghiên cứu triển khai hệ thống tường lửa Forefont TMG 2010 với mục đích tìm hiểu sâu sắc chế