HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 CHO CÔNG TY TRUYỀN HÌNH CÁP VIỆT NAM DƢƠNG THỊ PHƢỢNG HÀ NỘI, NĂM 2014 HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THƠNG TIN QUẢN LÝ KHĨA LUẬN TỐT NGHIỆP ĐẠI HỌC TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 CHO CƠNG TY TRUYỀN HÌNH CÁP VIỆT NAM Giáo viên hƣớng dẫn: Sinh viên thực hiện: Lớp : Khóa: Hệ: Th.S Cao Thị Nhâm Dƣơng Thị Phƣợng HTTTB 13 (2010-2014) Chính quy Hà Nội, tháng 6/ 2014 NHẬN XÉT (Của quan thực tập) NHẬN XÉT (Của giáo viên hƣớng dẫn) ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Kết luận : ………… ………………………………………………………………… Hà Nội, ngày tháng năm 2014 Giáo viên hướng dẫn (Ký tên) MỤC LỤC LỜI MỞ ĐẦU LỜI CẢM ƠN CHƢƠNG 1: GIỚI THIỆU CHUNG 1.1 Sự hình thành phát triển 1.2 Bộ máy tổ chức 1.3 Các hoạt động nghiệp vụ tình hình ứng dụng tin học CHƢƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Giới thiệu Firewall 2.1.1 Firewall gì? 2.1.2 Các chức Firewall 2.1.3 Thành phần Firewall 11 2.1.4 Nguyên lý hoạt động Firewall 11 2.2 Tổng quan TMG 2010 12 2.2.1 TMG gì? 12 2.2.2 Lịch sử, trình phát triển TMG 2010 13 2.2.3 Các tính TMG 2010 13 2.2.4 Các mơ hình TMG 2010 18 2.2.5 Yêu cầu hệ thống cài đặt TMG 2010 20 2.2.6 Cấu hình TMG 2010 21 2.2.7 Ưu điểm nhược điểm TMG 2010 21 CHƢƠNG 3: THIẾT KẾ 23 3.1 Thực trạng hệ thống mạng VTVcab 23 3.1.1 Tình hình hoạt động hệ thống mạng 23 3.1.1 Phân tích mơ hình mạng VTVcab .23 3.1.2 Đánh giá mơ hình mạng 25 3.2 Đề xuất giải pháp xây dựng hệ thống bảo mật dựa tảng FOREFRONT TMG 2010 26 3.2.1Xây dựng mô hình mạng với hai lớp TMG Firewall DataCenter 26 3.2.2 Lập danh sách thiết bị để xây dựng mơ hình mạng DataCenter .29 3.2.3Cấu hình TMG 2010 29 CHƢƠNG 4: TRIỂN KHAI TMG .35 4.1 Cài đặt TMG 2010 35 4.1.1 Yêu cầu cài đặt .35 4.1.2 Các bước cài đặt 35 4.2 Cấu hình Access rule 35 4.2.1 Tạo Rules cho phép Internal truy vấn DNS 35 4.2.2 Tạo Rules cho phép Internal truy cập web 39 4.3 Cấu hình Malware Inspection .42 4.4 Cấu hình URL Filtering 47 4.5 Web Publishing 48 KẾT LUẬN 56 TÀI LIỆU THAM KHẢO 57 PHỤ LỤC 58 2.1 PHỤ LỤC A: CÀI ĐẶT TMG 2010 58 NHẬT KÝ THỰC TẬP 67 DANH MỤC CÁC CHỮ VIẾT TẮT Chữ viết tắt Chữ đầy đủ Nghĩa DC Domain Controller Bộ điều khiển miền DMZ Demilitarized Zone Vùng phi quân DNS Domain Name Server Máy chủ phân giải tên miền NAT Network Address Translation Dịch địa mạng NIC Network Interface Cạc giao tiếp mạng FTP File Transfer Protocol Giao thức truyền tập tin Internet Control Message Protocol Giao thức điều khiển truyền tin mạng ICMP ISA Internet Sercurity And Acceleration ISP Internet Service Provider Nhà cung cấp dịch vụ Internet LAN Local Area Network Mạng cục TCP Trasmission Control Protocol Giao thức điều khiển truyền vận TMG Threat Management Gateway VPN Virtual Private Network UDP User Datagram Protocol WAN Wide Area Network Mạng riêng ảo Giao thức gói liệu người dùng Mạng diện rộng DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH Hình : Sơ đồ tổ chức Cơng ty Truyền hình Cáp Việt Nam Hình 2: Mơ hình Firewall .6 Hình 3: Screening Router sử dụng lọc gói Hình 4: Lọc gói tin 11 Hình 5: Mơ hình tổng quan lớp mạng tường lửa 12 Hình 6: Sự phát triển Forefront TMG 2010 13 Hình 7: Các chức TMG 2010 14 Hình 8: Các tính bật TMG 2010 15 Hình 9: Mơ hình TMG xử lý u cầu người dùng 16 Hình 10: Mơ hình Edge Firewall 18 Hình 11: Mơ hình 3-Leg Perimeter 19 Hình 12: Mơ hình Back Firewall 19 Hình 13: Mơ hình Single Network Adapter 20 Hình 14: Mơ hình mạng kết nối từ chi nhánh đến trung tâm DataCenter 24 Hình 15: Sơ đồ lý luận chi tiết trụ sở VTVcab 24 Hình 16: Mơ hình mạng với hai Firewall 26 Hình 17: Tạo Access Rules 35 Hình 18: Khai báo tên cho Rules 36 Hình 19: Chọn hành động cho Rule .36 Hình 20: Chọn giao thức DNS 37 Hình 21: Cấu hình Source cho Rule .37 Hình 22: Cấu hình Destination cho Rules 38 Hình 23: Xác định User áp dụng Rules 38 Hình 24: Lưu cấu hình 38 Hình 25: Tạo Access Rule .39 Hình 26: Đặt tên cho Rule .39 Hình 27: Thiết lập điều kiện cho Rule Allow 40 Hình 28: Chọn giao thức áp dụng cho Rule 40 Hình 29: Tùy chọn cấu hình Malware Inspection cho Rule 41 Hình 30: Cấu hình Source Destination Network cho Rule 41 Hình 31: Thêm User áp dụng Rule 42 Hình 32: Cấu hình hồn tất, apply để lưu cấu hình Forefront 42 Hình 33: Bật tính Malware Inspection 43 Hình 34: Cấu hình tự động Update cho Malware Inspection 43 Hình 35: Tiến hành Update chức Malware Inspection 44 Hình 36: Thực cấu hình mục Properties 44 Hình 37: Hộp thoại cấu hình Malware Inspection 45 Hình 38: Các tùy chọn nâng cao Malware Inspection với Rules Setting 45 Hình 39: Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa 46 Hình 40: TMG chặn File có chưa virus download 46 Hình 41: Add URL Catergory cần disable vào mục Exceptions 47 Hình 42: Chọn mục Chat Network Objects 47 Hình 43: Cấu hình cấm chat trang vietfun.com 48 Hình 44: Task Tab 48 Hình 45: Hộp thoại Welcome to the New Web Publishing Rule 49 Hình 46: Hộp thoại Select Rule Action 49 Hình 47: Hộp thoại Publishing Type 50 Hình 48: Hộp thoại Client Connect Security 50 Hình 49: Hộp thoại Internal Publishing Details 51 Hình 50: Hộp thoại Publish Name Details 51 Hình 51: Hộp thoại Select Web Listener 52 Hình 52: Hộp thoại Welcome to the New Web Listener Wizard 52 Hình 53: Hộp thoại Client Connect Security 53 Hình 54: Hộp thoại Web Listener IP Address 53 Hình 55: Authentication Settings 54 Hình 56: Hộp thoại Copleting the New Web Listener Wizard 54 Hình 57: Kích hoạt Web publishing .55 Hình 58: Chạy Preparetion Tool 58 Hình 59: Forefront TMG Preparation Tool 58 Hình 60: Hộp thoại License Agreement 59 Hình 61: Installation Type 59 Hình 62: Quá trình cài đặt Preparation Tool 60 Hình 63: Cài đặt thành công Preparation Tool .60 Hình 64: Chọn Run Installation Wizard 61 Hình 65: Hộp thoại Wellcome to the Installation Wizard 61 Hình 66: Hộp thoại License Agreement 61 Hình 67: Hộp thoại Customer Information 62 Hình 68: Hộp thoại Setup Scenarios .62 Hình 69: Hộp thoại Installation Path 63 Hình 70: Define Internal Network 63 Hình 71: Hộp thoại Address 64 Hình 72: Hộp thoại Select Network Adapters 64 Hình 73: Hộp thoại Define Internal Network 65 Hình 74: Hộp thoại Services Warning 65 Hình 75: Hộp thoại Ready to Install the Program 66 Hình 76: Bắt đầu cài đặt TMG 2010 66 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 LỜI MỞ ĐẦU Tổng cơng ty truyền hình cáp Việt Nam-VTVcab cơng ty cung cấp dịch vụ truyền hình thành lập từ năm 1995 Với hệ thống mạng cáp rộng khắp miền Bắc-Trung –Nam, VTVcab khẳng định thương hiệu chất lượng dịch vụ Gắn liền với phát triển ngày mạnh mẽ đó, VTVcab ln mong muốn mang đến cho khách hàng dịch vụ tốt nhất.Để làm điều VTVcab cần có hệ thống sở hạ tầng mạng hoàn thiện có tính bảo mật cao Hệ thống làm tảng cho VTVcab cung cấp dịch vụ tốt đến khách hàng nâng cao hiệu làm việc nhân viên Hiện tại, VTVcab có website http://vtvcab.vn/ , nơi cung cấp thông tin dịch vụ truyền hình cáp, dịch vụ truyền hình số, dịch vụ internet, dịch vụ quảng cáo, thơng tin hỗ trợ khách hàng, tin tức khuyến mại, lịch phát sóng kênh truyền hình Website cịn nơi khách hàng trao đổi ý kiến, phản hồi trình sử dụng dịch vụ Khách hàng gửi câu hỏi trực tiếp mục hỏi đáp chuyên gia VTVcab giải đáp tận tình Website hỗ trợ việc khách hàng đăng ký dịch vụ trực tuyến Ngồi ra, tính tốn trực tuyến trình thực sớm đưa vào website thời gian tới Để có tin tưởng gắn kết lâu dài khách hàng, VTVcab cần bảo vệ hệ thống Server (Web Server, Mail Server, FTP Server) khỏi nguy công từ bên Nhân viên VTVcab làm việc phòng ban khác phòng kinh doanh, phòng kế tốn, phịng kế hoạch đầu tư, phịng kỹ thuật, Trong trình làm việc, nhân viên thường xuyên phải truy cập Internet Vì vậy, hệ thống mạng nội tiềm ẩn nguy công từ bên ngồi với mục đích phá hệ thống mạng lấy cắp liệu Việc xây dựng sách tốt việc truy cập Internet từ nội điều cần thiết VTVcab Những sách đảm bảo an toàn mạng nội đồng thời giúp nhà quản trị kiểm sốt tình hình truy cập Internet nhân viên, nâng cao hiệu trình làm việc VTVcab mở thêm nhiều chi nhánh nước Hệ thống mạng VTVcab không đủ đáp ứng yêu cầu bảo mật với nhu cầu ngày mở rộng công ty Xuất phát từ vấn đề trên, chọn đề tài ” TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 CHO TỔNG CÔNG TY TRUYỀN HÌNH CÁP VIỆT NAM” nhằm xây dựng hệ thống mạng bảo mật tốt đáp ứng yêu cầu ngày mở rộng công ty Dương Thị Phượng – HTTTB-K13 Trang 1/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Trong trang Client Connection Security, định khơng sử dụng SSL Hình 53: Hộp thoại Client Connect Security Trong trang Web Listener IP Address, chọn mạng muốn tường lửa TMG chấp nhận kết nối đến web site Chọn External Hình 54: Hộp thoại Web Listener IP Address Dương Thị Phượng – HTTTB-K13 Trang 53/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Trong trang Authentication Settings, chọn kiểu thông tin sử dụng kết nối tới tường lửa TMG nhằm truy cập site Chọn HTTP Authentication Hình 55: Authentication Settings Chọn Finish Hình 56: Hộp thoại Copleting the New Web Listener Wizard Dương Thị Phượng – HTTTB-K13 Trang 54/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Sau đó, thiết lập thơng số cần thiết cho Listener Sau hồn thành , kích nút Apply để kích hoạt Rule Hình 57: Kích hoạt Web publishing Dương Thị Phượng – HTTTB-K13 Trang 55/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 KẾT LUẬN Bài khóa luận trình bày lý thuyết chức năng, thành phần, ngun lý hoạt động số mơ hình Firewall Từ mơ hình Firewall đó, khóa luận tìm hiểu sâu TMG Firewall, chương trình Firewall ứng dụng rộng rãi doanh nghiệp để bảo vệ hệ thống Bằng cố gắng nỗ lực thân hướng dẫn giúp đỡ tận tình giáo Cao Thị Nhâm, sau thời gian nghiên cứu thực đề tài, khóa luận đạt kết sau: - Phân tích thực trạng hệ thống VTVcab tìm điểm yếu hệ thống - Đề giải phát xây dựng mơ hình mạng khắc phục hạn chế hệ thống mạng cũ, giải pháp sử dụng hai TMG Firewall để bảo mật cho hệ thống mạng nội - Xây dựng mơ hình mạng với hai TMG Firewall bảo mật Tuy nhiên, hạn chế thời gian kiến thức kinh nghiệm, khóa luận cịn nhiều thiết sót Vì vậy, tơi mong nhận dc quan tâm, ý kiến đóng góp Thầy giáo bạn để khóa luận hồn thành Tơi xin chân thành cảm ơn! Dương Thị Phượng – HTTTB-K13 Trang 56/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 TÀI LIỆU THAM KHẢO Phan Trung Hiếu, Trần Lê Quân – Trường đại học khoa học tự nhiên Các phương phát lập trình vượt Firewall, 2005 Trần Văn An - Trung tâm đào tạo quản trị an ninh mạng Microsoft Forefront Threat Management Gataway 2010 Enterprise Hồng Đình Đại, Nguyễn Minh Tuấn, Vũ Kim Long, Nguyễn Mạnh CườngTrường cao đẳng nghề công nghệ thông tin iSPACE Ứng dụng Microsoft Forefront TMG 2010 bảo mật mạng doanh nghiệp, 2010 Trường đại học sư phạm kỹ thuật Hưng Yên, Giáo trình mạng doanh nghiệp, 2008 Trần Hà Đức Anh, Nguyễn Khôi Nguyên – Trường ĐH sư phạm kỹ thuật TP.Hồ Chí Minh Bảo mật hệ thống mạng với Microsoft Forefront TMG 2010, 2012 http://nhatnghe.com http://vnexperts.net/ http://sinhvienit.net/ http://vtvcab.vn/ Dương Thị Phượng – HTTTB-K13 Trang 57/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 PHỤ LỤC PHỤ LỤC A: CÀI ĐẶT TMG 2010 Bƣớc 1: Chạy Preparation Tool Chạy Preapration Tool để cài đặt cá Roles & Features cần thiết cho Forefront TMG Server Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Preparation Tool Hình 58: Chạy Preparetion Tool -Trong hộp thoại Welcome, chọn Next: Hình 59: Forefront TMG Preparation Tool Dương Thị Phượng – HTTTB-K13 Trang 58/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 -Trong hộp thoại License Agreement, đánh dấu chọn I accept the terms of the License Agreement, chọn Next: Hình 60: Hộp thoại License Agreement -Trong hộp thoại Installation Type, chọn Forefront TMG services and Management, chọn Next: Hình 61: Installation Type Dương Thị Phượng – HTTTB-K13 Trang 59/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 -Bắt đầu trình cài đặt Hình 62: Quá trình cài đặt Preparation Tool -Sau cài đặt thành cơng, chọn Finish Hình 63: Cài đặt thành công Preparation Tool Dương Thị Phượng – HTTTB-K13 Trang 60/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Bƣớc 2: Cài đặt Forefront TMG Server Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Installation Wizard Hình 64: Chọn Run Installation Wizard -Trong hơp thoại Welcome, chọn Next Hình 65: Hộp thoại Wellcome to the Installation Wizard -Trong hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next Hình 66: Hộp thoại License Agreement Dương Thị Phượng – HTTTB-K13 Trang 61/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Trong hộp thoại Customer Information, khai báo Product Serial Number Hình 67: Hộp thoại Customer Information Trong hộp thoại Setup Scenarios, chọn Forfront TMG services and Management Hình 68: Hộp thoại Setup Scenarios Dương Thị Phượng – HTTTB-K13 Trang 62/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Trong hộp thoại Installation Path, khai báo đường dẫn cài đặt, chọn Next Hình 69: Hộp thoại Installation Path -Trong hộp thoại Define Internal Network, chọn Add để khai báo subnet sử dụng hệ thống nội Hình 70: Define Internal Network Dương Thị Phượng – HTTTB-K13 Trang 63/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Trong hộp thoại Address, chọn Add Adapter Hình 71: Hộp thoại Address Trong hộp thoại Select Network Adapters, đánh dấu chọn card LOCAL card DOMAIn, chọn OK Hình 72: Hộp thoại Select Network Adapters Dương Thị Phượng – HTTTB-K13 Trang 64/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Trong hộp thoại Define Internal Network, kiểm tra subnet nội 172.16.0.0172.16.255.255 Hình 73: Hộp thoại Define Internal Network Trong hộp thoại Services Warning, chọn Next: Hình 74: Hộp thoại Services Warning Dương Thị Phượng – HTTTB-K13 Trang 65/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 Trong hộp thoại Ready to Install the Program, chọn Install: Hình 75: Hộp thoại Ready to Install the Program Quá trình cài đặt bắt đầu Hình 76: Bắt đầu cài đặt TMG 2010 Sau cài đặt thành công chọn Finish Dương Thị Phượng – HTTTB-K13 Trang 66/67 KHÓA LUẬN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG BẢO MẬT TRÊN NỀN TẢNG TMG 2010 NHẬT KÝ THỰC TẬP Dương Thị Phượng – HTTTB-K13 Trang 67/67