1. Trang chủ
  2. » Luận Văn - Báo Cáo

tiểu luận nghiên cứu triển khai hệ thống tường lửa forefront TMG 2010

76 3,3K 15

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 76
Dung lượng 3,19 MB

Nội dung

Nó hỗ trợ truy cập từ xa VPNSingle Network Adapter template có một số hạn chế vì một Forefront TMGserver với chỉ một giao diện mạng không thể được sử dụng như một Firewallthực sự, vì vậy

Trang 1

LỜI CẢM ƠN

Em xin được gửi lời cảm ơn sâu sắc đến toàn thể quý Thầy Cô khoa Điện- Điện

tử viễn thông trường Đại học giao thông vận tải TP Hồ Chí Minh nói chung và Quý Thầy Cô ngành Truyền thông và mạng máy tính nói riêng đã tận tình giúp đỡ

và truyền đạt những kiến thức quý báu trong thời gian học tập và rèn luyện tại trường

Em xin chân thành cảm ơn đến thầy Trần Kim Tân, giáo viên hướng dẫn đã tận

tình chỉ bảo, hướng dẫn, tạo mọi điều kiện thuận lợi để em hoàn thành tốt bài báo cáo này

Em xin chân thành cảm ơn đến ban giám đốc Trung tâm đào tạo chuyên gia

mạng quốc tế NewStar , thầy Võ Văn Nhân cùng toàn thể cô chú, anh chị em

trong trung tâm đã tận tình giúp đỡ, hướng dẫn, truyền đạy và tạo mọi điều kiện thuận lợi để em có thể hòa nhập vào môi trường thực tế, nhờ vậy em có thể hoàn thành tốt bài báo cáo thực tập này

Do quy mô đề tài, thời gian và kiến thức còn hạn chế nên không tránh khỏi nhữngsai sót Em kính mong quý thầy cô và các bạn nhiệt tình đóng góp ý kiến để emcủng cố, bổ sung và hoàn thiện thêm kiến thức cho mình

Trang 2

NHẬN XÉT KẾT QUẢ THỰC TẬP CHUYÊN MÔN

Thời gian thực tập: 20/2/2013 đến 30/3/2014

Đơn vị thực tập: Trung tâm đào tạo quốc tế NEWSTAR

(240 Võ Văn Ngân, phường Bình Thọ, quận Thủ Đức)

Đề tài: Nghiên cứu triển khai hệ thống tường lửa FOREFRONT TMG 2010 Cán bộ hướng dẫn: Võ Văn Nhân

Nhận xét:

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm:………

Tp.HCM, ngày….tháng……năm 2014

Cán bộ hướng dẫn

Võ Văn Nhân

Trang 3

NHẬN XÉT KẾT QUẢ THỰC TẬP CHUYÊN MÔN

Thời gian thực tập: 20/2/2013 đến 30/3/2014

Đơn vị thực tập: Trung tâm đào tạo quốc tế NEWSTAR

(240 Võ Văn Ngân, phường Bình Thọ, quận Thủ Đức)

Đề tài: Nghiên cứu triển khai hệ thống tường lửa FOREFRONT TMG 2010 Giáo viên hướng dẫn: Trần Kim Tâm

Nhận xét:

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm:………

Tp.HCM, ngày….tháng……năm 2014

Giáo viên hướng dẫn

Trần Kim Tâm

Trang 4

MỤC LỤC

PHẦN 1: GIỚI THIỆU TỔNG QUÁT VỀ TRUNG TÂM ĐÀO TẠO CHUYÊN GIA

MẠNG QUỐC TẾ NEWSTAR 1

1 GIỚI THIỆU VỀ TRUNG TÂM NEWSTAR 1

1.1.Lịch sử hình thành: 1

1.2.Thành tựu đạt được 1

1.3.Hệ thống mạng của trung tâm 2

PHẦN 2: TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 3

1 TỔNG QUAN VỀ FOREFRONT TMG 2010 3

2 LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010 5

2.1.Lịch sử 5

2.2.Quá trình phát triển 5

3 PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010 6

4 CÁC TÍNH NĂNG CỦA TMG 2010 6

4.1.Các chức năng chính 6

4.2.Các tính năng nổi bật của TMG 2010 7

4.3.Yêu cầu cài đặt 9

5 CÁC MÔ HÌNH FIREWALL 10

5.1.Network template 10

5.2.Cấu hình các thiết lập mạng 11

6 CÁC TÍNH NĂNG MỚI 15

7 Triển khai TMG 20

8 YÊU CẦU HỆ THỐNG 25

8.1.Yêu cầu phần cứng 25

8.2.Yêu cầu Phần mềm 26

8.3.Hạ tầng mạng 26

10 GIẢI QUYẾT CÁC MẠNG PHỨC TẠP 29

11 DNS TRONG TMG 30

11.1.Hệ thống giải quyết tên phân giải 30

11.2.Ảnh hưởng của DNS 32

Trang 5

12 CÁC LOẠI TMG CLIENT 33

12.1.Web Proxy Client 33

12.2.SecureNET Clients 35

12.3.Forefront TMG Client 38

13 GIAO DIỆN TMG 39

13.1.TMG 2010 39

13.2.Monitoring 40

13.3.Firewall policy 41

13.4.Chính sách Web Access 41

13.5.E-Mail Policy 42

13.6.Intrusion Prevention System 43

14 NEW WIZARDS 45

14.1.The Getting Started Wizard 45

14.2.Network Setup Wizard 46

14.3.System Configuration Wizard 46

14.4.Deployment Wizard 47

14.5.The Web Access Policy Wizard 47

15 CẤU HÌNH TMG NETWORKS 48

15.1.Route Relationships 48

15.3.Mạng Rules 51

15.4.Built-In Mạng 52

15.5.Cấu hình mạng được bảo vệ của bạn 54

15.6.Chứng thực Traffic từ mạng được bảo vệ 55

16 NETWORK INSPECTION SYSTEM 55

Thực hiện kiểm tra hệ thống mạng Thực hiện kiểm tra hệ thống mạng 56

17 CACHING 58

18 MALWARE INSPECTION 58

18.1.Tìm hiểu về Inspection Malware trong TMG 58

18.2.Các tùy chỉnh trong Malware Inspection 60

18.3.URL Filtering 65

Trang 6

LỜI MỞ ĐẦU

Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xuhướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngànhcông nghiệp cũng như nông nghiệp Điều này phải kể đến sự đóng góp tích cực củacác ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông– Tin Học

Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đềphát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạođiều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước Tuynhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại vàphát triển trong không gian kết nối mạng

Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụngbảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanhnghiệp được ra đời ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phầncứng kết nối mạng được cung cấp bở hãng Cisco ISA (Internet SercurityAcceleration) Server - ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc góitin, … được cung cấp bởi hãng Microsoft

Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thốngmạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp và ứng dụngbảo mật hệ thống mạng doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đãchọn và cùng thảo luận - ứng dụng Microsoft Forefront TMG 2010 trong bảo mậtmạng doanh nghiệp

Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chươngtrình này và chính thức cho ra mắt sản phẩm mới là Microsoft Forefront ThreatManagement Gateway (Forefront TMG) đây chính là một cải tiến đáng kể từ phíaMicrosoft vì thực sự Forefront TMG chính là phiên bản tích hợp của:

Internet Security and Acceleration Server (ISA)

Forefront Client Security

Forefront Security for Exchange Server

Forefront Security for SharePoint

Trang 7

TÓM TẮT NỘI DUNG

Bài báo cáo gồm 2 phần:

PHẦN 1: Giới thiệu về trung tâm newstar

PHẦN 2: Nghiên cứu và triển khai hệ thống giải pháp bảo mật dựa trên nền tảng ứng dụng Microsoft Forefront TMG 2010

Trang 8

PHẦN 1: GIỚI THIỆU TỔNG QUÁT VỀ TRUNG TÂM ĐÀO TẠO

CHUYÊN GIA MẠNG QUỐC TẾ NEWSTAR

1.GIỚI THIỆU VỀ TRUNG TÂM NEWSTAR

Thành lập vào 01/10/2008 đến này là tròn 5 năm, trải qua một chặng đườngchưa phải là dài nhưng đã đánh dấu bước phát triển đáng ghi nhớ của trung tâmđào tạo chuyên gia mạng quốc tế NewStar Khởi đầu từ ước muốn tạo một môitrường học tập, thực hành tốt nhất cho tất cả cộng đồng IT nói chung và các bạnsinh viên công nghệ thông tin nói riêng, đặc biệt là trong lĩnh vực Network, đếnnay trung tâm đào tạo mạng NewStar đã không ngừng đầu tư xây dựng cơ sở vậtchất, nâng cao chất lượng giảng viên để luôn luôn đảm bảo được chất lượng đàotạo tốt nhất cho tất cả học viên Với sự tin tưởng vào đường lối phát triển của nhànước, Ban Lãnh đạo trung tâm – những người mở đường nhiệt huyết, có tầm nhìnthông suốt đã và đang lèo lái con tàu lớn NewStar vững bước tiến trong tươnglai

1.2 Thành tựu đạt được

5 năm, hành trình vươn ra biển lớn với mong muốn đưa trung tâm trở thành một trung tâm đào tạo tin học nói chung và đào tạo mạng nói riêng mang đẳng cấp quốc tế, NewStar luôn có các chiến lược nâng cao chất lượng dạy và học của trung tâm, hàng năm trung tâm đầu tư trang bị và nâng cấp các thiết bị dạy học

và thực hành mới nhất như máy tính cấu hình cao, router, switch … để đáp ứng nhu cầu thực hành cho học viên giúp học viên nắm bắt được công nghệ Đội ngũ giảng viên không ngừng được trau dồi kiến thức, học tập không ngừng, nâng cao

kỹ năng sư phạm nhằm đảm bảo chất lượng giảng dạy tốt nhất, NewStar cũng tự hào có số lượng giảng viên đạt chứng chỉ CCIE, CCSI nhiều nhất Hàng năm trung tâm đã đào tạo ra hàng ngàn lượt học viên với nền tảng kiến thức vững chắc được trung tâm cấp chứng chỉ kết thúc khóa học đảm bảo cho học viên có thể tìm kiếm một công việc tốt trong lĩnh vực công nghệ thông tin

Ngoài công tác đào tạo chính cho sinh viên, hàng năm trung tâm cũng tựhào được các cá nhân, doanh nghiệp lớn của nhà nước và tư nhân mời đến đàotạo cho đội ngũ nhân viên kỹ thuật của mình Đơn cử là: Trung tâm tích hợp dữliệu tỉnh Bình Thuận, Sở thông tin và truyền thông tỉnh Tây Ninh, …Được sự tintưởng đồng thời với đó là sự gắn bó của trung tâm với các trường đại học, caođẳng trên địa bàn thành phố, NewStar cũng thường xuyên được là khách mời,nhà tài trợ đồng hành tổ chức thành công các sự kiện như: chào đón tân sinh viên

Trang 9

tại đại học Sư phạm kỹ thuật, đại học Nông lâm, đại học Tài nguyên & Môitrường TP.HCM, cao đẳng Công nghệ thông tin đại học Bưu chính viễn thông,cao đẳng Công thương, hội thảo “Giải pháp mạng không dây” tại đại học Hutech,

Với sự phát triển không ngừng của công nghệ, nhằm nắm bắt xu hướngcông nghệ mới Trung tâm đã thành lập ra nhóm dự án công nghệ cao dành chocác bạn học viên tâm huyết, tạo điều kiện cho các bạn trau dồi kiến thức, kỹ nănglàm việc thực tế, có cơ hội làm việc cùng các chuyên gia Thông qua các chuyên

đề công nghệ như: Ảo hóa, bảo mật, công nghệ đám mây, … và thực hành tại dự

án cụ thể tại các công ty, doanh nghiệp lớn

Cuối tháng 10/2013 NewStar đã có một bước chuyển mình lớn khi trung tâm chuyển sang cơ sở mới được đầu tư trang thiết bị hiện đại hơn tại số 240 Võ Văn Ngân-P.Bình Thọ-Q.Thủ Đức-TP.HCM

1.3 Hệ thống mạng của trung tâm

Trung tâm bao gồm: switch,router, isa Hệ thống liên kết 6 phòng lab (mỗi phòng có 18 máy tính) và một số phòng hành chính

Trung tâm có 6 phòng học hiện đại đạt tiêu chuẩn quốc tế, 1 hội trường với sức chứa 200 người dành cho các hoạt động ngoại khóa Đặc biệt trung tâm cũng

đã trang bị thêm một số lượng lớn máy tính cấu hình cao, Route, Switch, Server phục vụ nhu cầu thực hành và làm Lab cho học viên

Trang 10

PHẦN 2:TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA

FOREFRONT TMG 2010

1 TỔNG QUAN VỀ FOREFRONT TMG 2010

Theo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật KasperskyLab, tất cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt vớimột nguy cơ chung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu.Hiện nay nguy cơ này vẫn không được đánh giá đúng mức độ nguy hiểmcủa nó Đối với những người sử dụng máy tính thông thường, giới tin tặc thườngnhắm đến các thông tin cá nhân như mật khẩu, chi tiết tài khoản ngân hàng, sốthẻ tín dụng, tài liệu riêng tư… ở các tổ chức lớn hơn như doanh nghiệp nhỏ, tậpđoàn thậm chí là cơ quan chính phủ, việc rò rỉ thông tin về tài liệu nội bộ công ty,tình hình tài chính, an ninh quốc gia… có thể gây ra tổn thất to lớn về mặt kinh

tế, chính trị… Các malware đánh cắp dữ liệu bao gồm các dòng malware nhưtrojan can thiệp hoạt động giao dịch ngân hàng, trojan đánh cắp mật mã và cáctrojan gián điệp Các mối hiểm họa này đang gia tăng với tốc độ chóng mặt 87%trong năm qua và đặc biệt các dòng phần mềm gián điệp tăng đến 135%

Theo nhận định của ông Raymond Goh, Giám đốc Kỹ thuật Khu vực ĐôngNam Á, phụ trách mảng thiết kế hệ thống và dịch vụ tư vấn khách hàng củaSymantec, năm 2011 tình hình an ninh mạng vẫn quy tụ đầy đủ quanh 5 xuhướng tấn công chính của năm 2010 nhưng mức độ lớn hơn, độ phức tạp tăng lên

và tinh vi hơn rất nhiều Đó là tấn công có mục tiêu tiếp tục nở rộ, dùng mạng xãhội và kỹ thuật xã hội để xâm nhập vào hệ thống, tăng mạnh các gói công cụ tấncông, tin tặc luôn ẩn mình và tìm kiếm cơ hội tấn công, các mối nguy hại từ thiết

bị di động tăng mạnh

Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại

Do đó, các hệ thống mạng doanh nghiệp trên toàn cầu đều cấp thiết tìm giảipháp bảo mật, ngăn chặn các mối nguy hại từ các cuộc tấn công từ Internet Song

Trang 11

song đó có rất nhiều công ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp,sản phẩm và thiết bị hỗ trợ cho việc an ninh hệ thống mạng Trong số đó, công typhần mềm hàng đầu thế giới Microsoft đã trình làng Microsoft Forefront ThreatManagement Gateway (TMG) 2010, một thế hệ mới của phần mềm tường lửaphát triển trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tíchhợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mãđộc hại khi truy cập Internet Hơn thế nữa, Microsoft Forefront TMG 2010 chính

là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront ClientSecurity, Forefront Security for Exchange Server và Forefront Security forSharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:

 Bảo vệ hệ thống đa dạng và hoàn thiện

 Phát hiện virus, malware và ngăn chặn tấn công

 Giao diện quản lý thân thiện và dễ dàng

 Giám sát hệ thống mạng được tăng cường

Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa(Firewall) là chương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ravào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng.Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN,các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần longại về phầm mềm độc hại và các mối đe dọa khác Nó cung cấp nhiều lớp bảo

vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một,(TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảomật web Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng củachúng ta sẽ được chia ra làm 3 phần riêng biệt:

Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế

giới, chính là máy Forefront TMG

External Network - là mạng Internet, như vậy mạng Internet được xem

như là một phần trong mô hình Forefront TMG mà thôi

Mô hình tổng quan 3 lớp mạng của tường lửa

Trang 12

2 LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010

2.1 Lịch sử

Sự phát triển của Forefront TMG 2010

Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính làISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệđiều hành trước đó như: Windows Server 2000, Windows XP, Windows Server

2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như:Windows 7, Windows Server 2008 Vì thế để cài đặt một tường lửa trên các hệđiều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụngđến một software mới của Microsoft đó là Microsoft forefront ThreatManagement Gateway 2010

2.2 Quá trình phát triển

Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạnphát triển sau:

1/1997 - Microsoft Proxy Server v1.0 (Catapult)

18/03/2001-Microsoft Internet Security and Acceleration Server 2000

Trang 13

3 PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010

Produ

ction

Licenses

Forefront TMG 2010 Standard Edition

Forefront TMG 2010 Enterprise Edition

Forefront TMG 2010 Enterprise Edition 25- processor pack

Forefront TMG Web Protection Service

Price

$1,499 per processor

$ 5,9999 per processor

$ 75,000 for

25 processor

$ 12,00 per user or device, annually

4 CÁC TÍNH NĂNG CỦA TMG 2010

4.1 Các chức năng chính

4.2 Các tính năng nổi bật của TMG 2010

Những Tính năng nổi bật của Forefront TMG 2010 Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP

thông qua TMG

ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho

nhiều đường truyền internet

Trang 14

Web Anti-Malware - Quét virus, phần mềm độc hại & các mối

đe dọa khác khi truy cập web

URL Filtering - Cho phép hoặc cấm truy cập các trang web theo

danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, muasắm, chat

HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS

để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSLCertificate

E-mail Protection Subscription Service - Tích hợp với

Forefront Protection 2010 for Exchange Server & Exchange Edge TransportServer để kiểm soát virus, malware, spam e-mail trong hệ thống MailExchange

Network Inspection System (NIS) - Ngăn chặn các cuộc tấn

công dựa vào lỗ hổng bảo mật

Network Access Protection (NAP) Integration - Tích hợp với

NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép clientkết nối VPN

Security Socket Tunneling Protocol (SSTP) Integration - Hỗ

trợ VPN-SSTP

Windows Server 2008 with 64-bit support - Hỗ trợ Windows

Server 2008 & Windows Server 2008 R2 64-bit

So sánh các tính năng trong Forefront TMG Standard và Enterprise

Standard Edition Enterprice Edition

+CALs) and installation by the admin

Trang 15

So sánh các tính năng giữa ISA 2006 và Forefront TMG

2006

Forefront TMG

4.3 Yêu cầu cài đặt

System

Compoment

Minimum Requirements Recommended

RequirementsOperating

System

Windows Server 2008 SP2 (64-bit) or Windows Server 2008 R2

Windows Server 2008 SP2 (64-bit) or Windows Server 2008 R2

Processor Type 64-bit 64-bit

Disk Space 2.5 GB of available

hard disk space

2.5 GB of available hard disk space

Disks Một phân vùng đĩa

cứng cục bộ được định dạngvới hệ thống tập tin NTFS

Hai phân vùng đĩa cứngcục bộ được định dạng với

hệ thống tập tin NTFS Một đĩa cho hệ thống và TMG logging, một cho bộ nhớ đệm và kiểm tra phần mềm độc hại

Network Một card mạng tương

thích với hệ điều hành máy tính và truyền thông với mạng nội bộ

Một bộ chuyển đổi

Một card mạng tương thích với hệ điều hành máy tính và truyền thông với mạng nội bộ

Một bộ chuyển đổi

Trang 16

mạng bổ sung cho mỗi mạngkết nối với máy chủ

Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai

mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng

NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa

hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằngđịa chỉ IP của network adapter tương ứng

Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo cácrule cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối

1.1 Network template.

Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫuđược thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điểnhình Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu Ở đây tất

cả những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diệnquản lý TMG Management

Trang 17

Network setup wizard

1.2 Cấu hình các thiết lập mạng

Launch Getting Started Wizard cho phép bạn chọn Network Template

cần thiết để cấu hình Forefront TMG cung cấp cho bạn tới 4 Network Template:

Trang 18

Edge Firewall Template

Edge Firewall template là một Network Template cũ và kết nối mạng bêntrong với Internet, được bảo vệ bởi Forefront TMG Một Edge Firewall templateđiển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server Đây

là tùy chọn mặc định và một trong những sử dụng trong đa số trường hợp Điềunày sẽ tạo ra một mạng nội bộ mặc định và một mặc định ngoài mạng

1.2.2 3-Leg Perimeter

3-Leg Perimeter Template

3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiềunetwork adapter Một network adapter kết nối mạng bên trong, một networkadapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ(Demilitarized Zone), cũng được gọi là Perimeter Network Perimeter Networkgồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệbởi Forefront TMG Các dịch vụ điển hình trong một DMZ là Web Server, DNSServer hoặc WLAN network Một 3-Leg Perimeter Firewall cũng thường đượcgọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực” Một DMZđích thực chính là vùng giữa hai Firewall khác nhau

1.2.3 Back Firewall

Trang 19

Back Firewall Template

Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn nhưmột bức tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bứctường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũngnhư một mặc định mạng nội bộ Back Firewall template có thể được sử dụng bởiForefront TMG Administrator, khi Forefront TMG được đặt phía sau FrontFirewall Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ

và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tínhtrong DMZvà từ Front Firewall

1.2.4 Single Network Adapter

Single Network Adapter Template

Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên cácbức tường lửa TMG Điều này chỉ được sử dụng khi các bức tường lửa là cóđược sử dụng như một máy chủ proxy web Cấu hình này không hỗ trợ bất kỳgiao thức khác hơn so với HTTP, HTTPS và FTP Nó hỗ trợ truy cập từ xa VPNSingle Network Adapter template có một số hạn chế vì một Forefront TMGserver với chỉ một giao diện mạng không thể được sử dụng như một Firewallthực sự, vì vậy nhiều dịch vụ theo đó mà không có Nó chỉ có các tính năng dướiđây:

Trang 20

 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.

 Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty

 Web publishing để bảo vệ các máy chủ FTP và published Web

 Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũngđược gọi là Outlook Anywhere trong Exchange Server 2007)

Microsoft Forefront Threat Management (TMG) 2010 là một tường lửa cólớp ứng dụng thông minh và khả năng chống phần mềm độc hại có thể được sửdụng để xác định và giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại.Forefront TMG là kế thừa cho Microsoft ISA Server và bao gồm tất cả các chứcnăng ISA Server đồng thời nâng cao khả năng sử dụng, bảo mật, và chức năng.Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sungmới cho bộ sản phẩm Forefront Edge TMG chủ yếu là nhắm mục tiêu vào cáctình huống bên ngoài, chẳng hạn như những người tạo ra bởi các host trên mạngđược bảo vệ; UAG chủ yếu là nhắm mục tiêu vào các tình huống bên trong, nhưtrong trường hợp Microsoft SharePoint hoặc Exchange, Web Publishing

Hai phiên bản của TMG là:

TMG Medium Business Edition (MBE) trong đó có sẵn trong một

phiên bản độc lập hoặc với Windows Essential Bussiness Server (EBS).1

TMG 2010 cho tất cả các triển khai khác.

TMG MBE đã được phát hành với Windows EBS vào cuối năm 2008 TMG 2010 được phát hành vào cuối năm 2009.

Trang 21

ĐẶC ĐIỂM T

MGMBE

TMGFULL

Windows Filtering Platform (WFP)

*TMG MBE run as 32-bit processes

So sánh các tính năng của TMG MBE và TMG FULL

Forefront TMG Management Console được tổ chức lại để đơn giản hóatrong cấu hình và giám sát Nhiều điều khiển định hướng nhiệm vụ được chuyểnđến gần hơn và dễ dàng truy cập hơn trong tab Task

Giao diện quản lý của Forefront TMG 2.CÁC TÍNH NĂNG MỚI

Trang 22

Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native Bit

64-Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nên cầnthiết phải có các thiết bị để xử lý lưu lượng truy cập nhanh ISA Server là một

"phần mềm" tường lửa dựa trên hệ điều hành Windows Một hạn chế được biếtđến của ISA Server là nó không thể được cài đặt trên một nền tảng 64-bit TMGkhông có giới hạn này, bạn phải cài đặt chúng trên hệ điều hành 64-bit WindowsServer 2008 và Windows EBS cũng hỗ trợ môi trường 64-bit Với việc giới thiệu

hỗ trợ 64-bit, tường lửa TMG có thể sử dụng hơn 4 gigabyte (GB) bộ nhớ RAM

Hỗ trợ Web Antivirus và Anti-Malware

Tường lửa TMG có thể phát hiện và cô lập nội dung độc hại trong luồngthông tin HTTP trước khi nó đến đến khách hàng Tính năng này cung cấp thêmlớp bảo vệ và tăng cường an ninh cho tất cả các host trên mạng được bảo vệ bởiTMG

Các bộ lọc HTTP Malware là một bộ lọc web chặn luồng dữ liệu giữangười dùng và máy chủ Web Nội dung của luồng dữ liệu này được lưu trữ trong

bộ nhớ hoặc trên đĩa, tùy thuộc vào kích thước của nội dung MPEngine TMG(Microsoft Malware Protection Engine) quét nội dung trước khi nó được phânphối cho người dùng

Để hiểu rõ hơn quá trình này, hình II.3.1 minh họa làm thế nào các yêu cầu

từ người dùng lấy từ máy chủ Web, chặn bởi các bức tường lửa TMG, thông qua

để MPEngine và cuối cùng, trả lại cho người dùng sau khi xử lý

MPEngine và các bước xử lý

Minh họa các bước sau:

Trang 23

1) Yêu cầu ban đầu từ người dùng bị chặn bởi các cơ Firewall TMG.

2) Yêu cầu được chuyển tiếp từ TMG đến Web Server

3) Các phản hồi từ máy chủ Web được trả lại cho TMG

4) Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web

5) Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trướckhi kiểm tra

6) Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy

bộ nhớ, tùy thuộc vào kích thước

7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc

8) Bộ lọc gửi nội dung đến Edge Malware Protection (EMP) Máy quét đểkiểm tra

9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọcweb

11) Việc xử lý đích lấy nội dung tích lũy

12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP

13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại

để xử lý đích

14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng

15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine

16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMGtích lũy nội dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về,

và sau đó kiểm tra nội dung Nếu nội dung được tải về và kiểm tra trong vòng 10giây, TMG chuyển tập tin đến người dùng cuối Nếu nội dung được tải về vàkiểm tra các tập tin mất hơn 10 giây, TMG sẽ gửi một trang tiến độ HTML chongười dùng thể hiện tiến trình tải về hoặc cho thấy một phản ứng trickled tùythuộc vào loại nội dung được tải về Một phản ứng trickled là cùng một loại phảnứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác

Giao diện người dùng, quản lý và báo cáo nâng cao

TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services(SRS) SRS có thể tạo ra các báo cáo từ cơ sở dữ liệu SQL SRS cho phép báocáo thiết kế và định nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch

Trang 24

vụ Web có thể lập trình giao diện, và nhiều hơn nữa SRS gồm dịch vụ cơ sở dữliệu và trong trường hợp của SRS 2005, dịch vụ web được tổ chức bởi IIS, IISyêu cầu trên máy tính TMG vì lý do này IIS cũng được yêu cầu cho WindowsEBS quản lý báo cáo từ xa IIS không phải là một vai trò cần thiết cho TMG

2010.2

Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phầnmềm độc hại, lọc URL và phòng chống xâm nhập TMG báo cáo bao gồm thôngtin không có sẵn trong các phiên bản trước của các bức tường lửa Khi ForefrontProtection Manager 2010 (FPM) được khởi động, TMG 2010 sẽ tích hợp hoàntoàn với FPM cung cấp một giải pháp bảo vệ end-to-end Báo cáo TMG có thểđược xem hoặc kiểm soát từ giao diện báo cáo FPM

TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiệnviệc tạo ra báo cáo và quản lý

Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đónhận được một thông báo HTML mà bạn cấm truy cập vào website để vào trangweb bị cấm theo chính sách công ty Thông báo HTML có thể được cấu hình trênTMG

Trang 25

và gửi lại cho người dùng Trong cách này tất cả lưu lượng HTTPS có thể đượcTMG kiểm tra trước khi nó được thông qua giữa máy khách và máy chủ.

Hỗ trợ E-Mail Anti-Malware và Anti-Spam

TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năngchống phần mềm độc hại

Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm trabằng cách sử dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho ngườidùng Đối với các giao thức SMTP, bạn có thể xác định một con đường SMTP, làmột thực thể đại diện cho một liên kết giữa TMG và nội bộ hoặc các máy chủ thưbên ngoài Mục đích các tuyến đường SMTP là để đơn giản hóa cấu hình và cungcấp một liên kết giữa TMG và Internet, giữa TMG và published mail server Giaodiện người dùng mới làm cho nó dễ dàng hơn để quản lý cấu hình published mailserver, bạn chỉ cho phép antivirus (AV) quét trên các tuyến đường SMTP

Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưulượng truy cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độcđược gửi qua e-mail

Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)

Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu làbởi vì nó có thể được sử dụng như một biện pháp chủ động để phát hiện xâmnhập IPS là một thiết bị bảo vệ hệ thống Một IPS thường được coi là một phần

mở rộng của Intrution Detection System (IDS), nhưng cũng có thể được xem như

là một hình thức kiểm soát truy cập, tương tự như một lớp ứng dụng tường lửakhông chỉ phát hiện hoạt động đáng ngờ, nhưng cũng có các biện pháp phòngngừa để ngăn chặn xâm nhập và cho phép được lựa chọn con đường đi qua.TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS.TMG 2010 cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc

Trang 26

Giao diện Intrusion Prevention System (IPS)

The Session Initiation Protocol (SIP) Filter

Bộ lọc Session Initiation Protocol (SIP) được đi kèm với TMG, hỗ trợ âmthanh

và video thông qua các bức tường lửa TMG và cũng cho phép người dùngchuyển các tập tin và chia sẻ ứng dụng

TFTP Filter

TMG bao gồm Trivial File Transfer Protocol (TFTP) Filter TFTP thườngđược sử dụng bởi BootP client để tải về một hệ điều hành Ngoài ra, do nhiều

điện thoại sử dụng TFTP để download các file cấu hình, các bức tường lửa TMGcung cấp hỗ trợ TFTP tạo điều kiện thuận lợi cho những yêu cầu này bằng cách

sử dụng bộ lọc TFTP Việc sử dụng TFTP để di chuyển dữ liệu vào máy tính mớiđược triển khai TFTP là một truyền tập tin giao thức tương tự như File TransferProtocol (FTP), nhưng hoạt động khá khác nhau một chút và sử dụng khác nhau.Bởi vì ISA Server thường được dùng để cô lập mạng lưới của nhau và khônghiểu làm thế nào để quản lý TFTP Communications, nên việc triển khai tự độngcủa Windows và bằng ảnh đĩa thường bị thất bại TMG giải quyết vấn đề nàybằng cách thêm một bộ lọc TFTP để cung cấp sự quản lý tốt hơn và an toàn hơn

Network Functionality Enhancements (Cải tiến chức năng mạng)

Trang 27

Trong tất cả các phiên bản trước đây của ISA Server, khi một mối quan hệNetwork Address Translation (NAT) tồn tại giữa các mạng, ISA không cho phépxác định địa chỉ IP bên ngoài, ngay cả khi giao diện bên ngoài có nhiều địa chỉ

IP Thay vào đó, ISA luôn luôn sử dụng chính Địa chỉ IP kết hợp với giao diện,làm cho địa chỉ IP của địa chỉ nguồn cho tất cả các outboud traffic Tương tự nhưvậy, ISA không thể làm cho việc sử dụng kết nối nhiều hơn một ISP, khiến nhiềungười dùng phải mua một thiết bị riêng biệt để đáp ứng nhu cầu này

Nat address Selection (Lựa chọn địa chỉ NAT)

Các tường lửa TMG có NAT cải tiến mới cho phép bạn chỉ định địa chỉ để

sử dụng cho các yêu cầu gửi đi khi có một mối quan hệ NAT giữa các thực thểmạng Ngoài ra, nếu TMG có nhiều địa chỉ IP bên ngoài, bạn có thể chỉ định địachỉ được xem bởi các máy chủ SMTP từ xa Điều này đặc biệt hữu ích nếu cóhạn chế địa chỉ IP đang được để bảo vệ thư rác tại SMTP Server từ xa Lựa chọnđịa chỉ NAT được thiết lập thông qua các New Network Rule Wizard

Edge firewall3-leg perimeter firewallBack firewall

Trang 28

Single NIC Web proxy server

3.1 Edge Firewall

Khi được triển khai như một edge Firewall, nhiệm vụ chính của TMG làhành động như một layer-2 và layer-3 tường lửa cho traffic được gửi đến và từInternet Ngay cả khi TMG cũng được triển khai để cung cấp cấp cao hơn, bảo vệlớp ứng dụng (chẳng hạn như IDS, lọc URL, kiểm tra phần mềm độc hại) và nhưvậy, nhiệm vụ chính của TMG vẫn còn như một tường lửa kiểm tra gói stateful

Là một edge firewall, giao diện bên ngoài phải đối mặt với Internet và giao tiếpnội bộ phải đối mặt với mạng LAN được bảo vệ Ưu điểm lớn nhất của việc sửdụng TMG là một bức tường lửa cạnh là nó cung cấp cho TMG truy cập trực tiếp

mô hình mạng được thiết kế để kiểm soát Với một vài thiết bị bổ sung trong conđường mạng, TMG có khả năng tốt hơn để đánh giá và đưa ra quyết định kiểmsoát thích hợp Đây cũng là mặc định triển khai cấu hình cho UAG

Mẫu này cung cấp những lợi ích sau đây:

 TMG chặn tất cả các truy cập trái phép vào mạng nội bộ từ Network mặcđịnh bên ngoài

 TMG ẩn Mạng nội bộ mặc định từ bên ngoài

 Bạn có khả năng cung cấp truy cập an toàn tới các máy chủ nội bộ bằngcách publish chúng

Trang 29

chế kiểm soát mà bạn sẽ sử dụng tại các địa điểm khác nhau vào trong một điểmkiểm soát mạng.

3-Leg Perimeter hỗ trợ bạn trong việc thực hiện một mạng vành đai, đượcgọi là khu vực phi quân sự hoặc DMZ Mạng vành đai này được sử dụng để phơibày an toàn tài nguyên được chia sẻ bởi những người dùng đến từ các mạngkhông tin cậy (chẳng hạn như Internet) và mạng đáng tin cậy (mạng bảo vệTMG) Mẫu thiết lập TMG với ba giao diện mạng: Một card mạng được kết nốivới Internet (bên ngoài mạng), một kết nối vào mạng nội bộ, và một kết nối vớimạng vành đai Tùy chọn 3 Leg Perimeter là không có sẵn nếu bạn có ít hơn baNIC

Trong quá trình lựa chọn này, bạn cần phải xác định xem các địa chỉ IPđược sử dụng trên mạng Perimeter là public hay private Đây là một quyết địnhquan trọng bởi vì nó cũng ảnh hưởng đến mối quan hệ giữa các mạng vành đaivới các mạng nội bộ và bên ngoài Mạng vành đai thường sử dụng địa chỉ IPriêng vì bạn muốn ẩn địa chỉ IP thực của nguồn tài nguyên từ Internet

Mô hình mạng 3-Leg Perimeter

Mẫu này cung cấp những lợi ích sau đây:

 Nó bảo vệ mạng nội bộ mặc định từ các cuộc tấn công bên ngoài

 Cho phép bạn publish một cách an toàn các dịch vụ Internet bằng cách đặtchúng trong một khu vực perimeter

 Người dùng bên ngoài có thể truy cập tài nguyên nằm trong mạng vành đaitrong khi vẫn đang bị ngăn chặn truy cập vào tài nguyên nội bộ

3.3 Back Firewall

Back Firewall là một biến thể của mẫu Edge Firewall ngoại trừ giao diệnbên ngoài các bức tường lửa TMG được kết nối với một phân đoạn mạng vànhđai giữa nó và giao diện nội bộ của một bức tường lửa ở thượng nguồn Như vậy,mục cấu hình mạng mẫu đã được cập nhật để cung cấp cho bạn tùy chọn để xácđịnh các mối quan hệ mạng giữa mạng nội bộ và Perimeter Networks là mộttrong hai tuyến đường hoặc NAT Lợi thế triển Back Firewall là với một thiết bịriêng biệt xử lý các quyết định traffic ở mức độ thấp, TMG có nhiều nguồn lựchơn để áp dụng cho kiểm soát lọc lưu lượng truy cập cao hơn

Trang 30

Mẫu này cung cấp những lợi ích sau đây:

 Kiểm soát truy cập

 Nhiều lớp bảo vệ

 Tách nhiệm vụ (Mỗi firewall chịu trách nhiệm cho các cấu hình giaothông khác nhau)

Khi bạn chọn mẫu này bằng cách sử dụng Getting Started Wizard, bạn có

để xác định các bộ chuyển đổi được kết nối với mạng nội bộ mặc định và bộchuyển đổi được kết nối với mạng perimeter

Mô hình mạng Back Firewall 3.4 Single-NIC

NIC duy nhất thường được gọi như Unihomed Tùy chọn này cung cấpchức năng tường lửa cho máy tính mà trên đó TMG hoạt động Giống như ISA

2006, một TMG Unihomed chỉ có thể cung cấp hỗ trợ cho lưu lượng truy cập dựatrên HTTP (CERN proxy hoặc Web Publishing) và dial-in VPN các khách hàngVPN Với ISA 2006, mạng hợp lệ cho một Unihomed TMG là:

Local host mạng này bao gồm tất cả các địa chỉ IP được

gán cho máy tính TMG, không chỉ là mạng 127/8

Internal Network bao gồm tất cả các địa chỉ IP không

được giao để dial vào một trong các VPN Client

VPN client mạng này bao gồm chỉ những địa chỉ đã được

định nghĩa cho sử dụng bởi các quản trị viên TMG

Quarantined VPN Client Mạng bao gồm chỉ có các địa

chỉ IP định nghĩa cho sử dụng bởi VPN client không đáp ứng các yêucầu bảo mật theo quy định cho kết nối VPN

Một lợi thế của triển khai Single NIC là tài nguyên TMG có thể được dànhriêng để xử lý những traffic HTTP liên quan Một ưu điểm khác của Unihomed làbạn không bao giờ cần phải ghi lại số Network để hỗ trợ một Unihomed TMGFirewall

Sử dụng mẫu Single NIC khi bạn muốn giới hạn bức tường lửa với mộthoặc nhiều vai trò sau đây :

Trang 31

 A forward Web proxy server

 A Web caching server

 A VPN remote-access client server

Bạn không thể sử dụng một TMG Single NIC để bảo vệ các cạnh mạng củabạn TMG Single NIC không có khái niệm của một mạng bên ngoài, bởi vì nó chỉ

có một giao diện mạng và cổng mặc định cho kết nối vượt ra ngoài mạng riêng củabạn nằm trên cùng một card mạng Do đó, các mạng chỉ có localhost (bản thânTMG) và nội bộ Ngoài ra, Single NIC không được hỗ trợ 1 số tính năng:

Application Filtering - Mặc dù TMG được xây dựng trong sự kiểm tra

lớp ứng dụng Sự kiểm tra lớp ứng dụng chỉ cho HTTP/HTTPS, FTP và lưu lượngtruy cập qua giao thức HTTP

Publishing Server - Các tính năng Server Publishing đòi hỏi hai giao

diện mạng (NIC), mẫu này chỉ hỗ trợ một NIC duy nhất

TMG Client - không được hỗ trợ.

SecureNET Client - không được hỗ trợ.

Thậm chí nếu bạn cấu hình một bộ chuyển đổi mạng để sử dụng hai hoặcnhiều địa chỉ IP hoặc bạn thêm một bộ chuyển đổi mạng thứ hai và sau đó vô hiệuhóa nó trong một số trường hợp hạn chế một số người làm việc xung quanh, cấuhình này vẫn không hỗ trợ thêm cho các yêu cầu trên

Sau khi bạn áp dụng mẫu Single NIC, các địa chỉ sau đây được loại trừ từ mạng:

Trang 32

Yêu cầu tối thiểu cho TMG 2010 là:

Một phiên bản 64-bit của Windows Server 2008 Standard, Enterprise, hoặc data center RTM với Service Pack 2 (SP2) hoặc R2

 Một CPU lõi kép

 Một phân vùng đĩa cứng định dạng với hệ thống tập tin NTFS

 150 MB đĩa cứng không gian

 ít nhất một card mạng tương thích với hệ điều hành và có thể giao tiếp vớimạng nội bộ (ít nhất hai giao diện mạng được yêu cầu hỗ trợ chức năng tường lửa)

 Một card mạng cho mỗi mạng vật lý TMG sẽ được kết nối

Đây là những yêu cầu tối thiểu Chúng không được khuyến cáo làm việc tốtnhất như tường lửa TMG hoặc máy chủ Web proxy, cũng không giải quyết nhu cầucho các ổ đĩa bổ sung không gian cho các file log, bộ nhớ đệm Web, và các hoạtđộng TMG quan trọng khác Trong các tình huống có một số lượng lớn người dùngkết nối thông qua TMG cho Web proxy hoặc truy cập từ xa VPN, yêu cầu bộ nhớ

có thể tăng lên chóng mặt Tương tự như vậy, yêu cầu không gian đĩa có thể lớnhơn nhiều nếu bạn có kế hoạch để tận dụng khả năng bộ nhớ đệm Web TMG

Từ một góc độ quản lý đĩa, TMG thường được cài đặt trên một đĩa cứng duynhất với hai hoặc nhiều phân vùng hợp lý Ở mức tối thiểu, tất cả các thành phần cóthể được cài đặt trên cùng một phân vùng Tuy nhiên, tùy thuộc vào vai trò củaTMG, và để đảm bảo rằng đĩa không đầy nhanh chóng, thư mục tập tin file log và

bộ nhớ cache có thể được lưu trữ trên ổ đĩa vật lý riêng biệt

Khi TMG được cài đặt trên một hệ điều hành Windows Server 2008, nó đượccài đặt như sau:

 The Active Directory Lightweight Directory Services Server Role

Trang 33

 The Web Server (IIS) Server Role (chỉ dành cho SRS 2005 )

 Microsoft SQL Express (Microsoft Forefront TMG logginginstance)

 Microsoft SQL Express (Microsoft Forefront TMG reportinginstance)

Microsoft SQL Server Setup Support Files

Microsoft SQL Server Volume Shadow Copy Service (VSS) Writer

bản cài đặt SQL Server Express)

Mặc định của IIS trên TMG MBE liên kết với các cổng TCP 8008 Bạnkhông nên sửa đổi giá trị này vì các liên kết báo cáo chuẩn được cấu hình sẵn để

sử dụng cổng TCP 8008 Khi TMG được gỡ bỏ, IIS Server và các thành phầnOffice Web thì không được gỡ bỏ Bạn phải loại bỏ các thành phần này một cáchthủ công

4.3 Hạ tầng mạng

Hiệu suất TMG bị ảnh hưởng bởi cơ sở hạ tầng mạng nơi mà nó hoạt động.Nếu bất kỳ thành phần cơ sở hạ tầng mạng nào thực hiện ít hơn so với hiệu quảtối ưu, TMG sẽ cố gắng để bù đắp thông qua việc sử dụng lưu lượng truy cậpđệm (backlog) cơ chế được xây dựng trong TMG Bạn cần phải giải quyết một sốvấn đề khi thiết kế triển khai TMG của bạn, tất cả các điều này có thể có một tácđộng đáng kể trên hiệu suất TMG, ổn định và an ninh:

Phân giải tênXác thựcThiết bị kiểm soát giao thông (IDS và IPS)

4.3.1 Tên phân giải

TMG phụ thuộc nhiều vào hoạt động phân giải tên và một DNS hỗ trợ cơ

sở hạ tầng

Khi chính sách TMG đề cập tới các điểm đến như tên (thường là các trườnghợp cho lưu lượng truy cập HTTP), TMG phải thực hiện tên và phân giải địachỉ IP để đảm bảo rằng các quy tắc có thể được đánh giá cho cả hai trường hợp(địa chỉ IP hoặc tên dựa trên yêu cầu) Mặc dù TMG duy trì bộ nhớ cache tênriêng của mình để cải thiện tên và tra cứu hiệu suất địa chỉ IP, TMG phải phụthuộc vào Windows để thực hiện các tên ban đầu hoặc phân giải địa chỉ IP Như

Trang 34

vậy, hiệu quả sử dụng lưu lượng truy cập tỷ lệ thuận với hiệu quả cơ chế phângiải tên của Windows.

Windows cấu hình phân giải tên TMG phụ thuộc vào cơ chế phân giải tênWindows Bởi vì Windows được thiết kế để được triển khai trong cấu hìnhnhiều mạng Vì phần lớn các lưu lượng truy cập xử lý bởi TMG HTTP-based vàdành cho Internet, Windows được cấu hình như một NetBIOS mặc định Điềunày có nghĩa là nếu Windows có sẵn dịch vụ DNS và WINS cho nó và các truyvấn DNS và WINS không cung cấp thành công hoặc phản ứng thất bại,Windows sẽ rơi trở lại chương trình broadcast tên NetBIOS Các điểm sau đâyảnh hưởng đến việc triển khai TMG:

Phần lớn yêu cầu phân giải tên TMG cho máy chủ Internet Phân giải ngược Internet có xu hướng thất bại bởi vì ít quan tâmcập nhật Reverse Lookup Zones

Chương trình broadcast NetBIOS là cơ chế dự phòng mặc định.TMG broadcast lưu lượng truy cập theo mặc định

Bởi vì broadcast lưu lượng truy cập không phải là chức năng trên Internet

và bởi vì TMG broadcast lưu lượng truy cập bằng cách mặc định nên NetBIOSbroadcast sẽ thất bại Vì cơ chế hoạt động của NetBIOS broadcast, nó có thểmất đến một phút để báo cáo thất bại, gây ra sự chậm trễ hay thất bại rất cao để

xử lý traffic TMG Bởi TMG cũng ghi nhật ký các gói dữ liệu broadcast, thêmchi phí xử lý phát sinh cho lưu lượng truy cập đã gây ra sự chậm trễ xử lý lưulượng

Cách tốt nhất để ngăn chặn lưu lượng Broadcast đến NetBIOS (và cải thiệnđáng kể hiệu suất TMG) là cấu hình Windows như một máy chủ peer-nodebằng cách sử dụng sau đây để đăng ký giá trị:

Đường dẫn: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

4.3.2 Xác thực

Một trong những lợi ích chính của việc triển khai TMG là khả năng đểkiểm soát lưu lượng truy cập dựa trên bối cảnh người dùng Bởi vì tất cả cácyêu cầu người dùng đã gửi ban đầu mà không có thông tin này, TMG phải yêu

Trang 35

cầu các thông tin và sau đó tham khảo những thông tin quan trọng để một nhàcung cấp dịch vụ xác thực cho xác nhận Sự chậm trễ hoặc lỗi gặp phải trongquá trình xác thực cũng ảnh hưởng xấu đến TMG thực hiện Bạn nên hiểu cácđiểm sau đây về xác thực cho TMG:

Windows Authentication - Trong một môi trường nơi TMG phải

xác thực yêu cầu bằng cách sử dụng các thông tin quan trọng củaWindows, TMG phải sử dụng các phương pháp xác thực Windows Nếucác tài khoản người sử dụng là một phần của một cấu trúc miền, TMGphải là thành viên của cùng một miền hoặc một miền tin tưởng Nếukhông, các tài khoản người dùng phải được phản ánh trong TMG - cơ sở

dữ liệu local của SAM

Non-Windows Authentication - Để chứng thực lưu lượng truy

cập, Web Proxy tìm nguồn cung ứng từ một mạng được bảo vệ nghe(thường gọi là outbound traffic Web proxy), TMG có thể xác thực ngườidùng dựa trên Windows hoặc RADIUS Khi TMG sử dụng RADIUSxác thực, yêu cầu xác thực từ TMG cho người dùng được xem nhưHTTP cơ bản

Xác thực tải - Đối với Windows xác thực, thường một tên miền

điều khiển Đối với Windows không xác thực, có thể được RADIUShoặc đăng nhập máy chủ LDAP dựa trên thư mục Nếu thông tin khôngđáp ứng nhanh chóng, yêu cầu kết quả tồn đọng sẽ làm suy yếu hiệu suấtTMG và tạo ra một trải nghiệm người dùng không thể chấp nhận đượcthường được diễn tả như "Internet là hết sức chậm"

5 PHÂN TÍCH YÊU CẦU MẠNG

Để kiểm soát tốt hơn mạng của bạn, bạn nên biết các ứng dụng đang chạy vàgiao thức họ sử dụng, điều này cho phép bạn để tạo ra hồ sơ lưu lượng truy cập củabạn Bằng việc xác định các ứng dụng, xác định những người sở hữu các ứng dụng,

và xác định các giao thức và cấu trúc liên kết mạng, bạn có thể xác định tốt hơn nơiTMG nên được cài đặt và những nguyên tắc mà bạn cần để tạo ra Xác định địa chỉ

IP trên mạng của bạn là một yếu tố quan trọng cần được lưu lại trước khi cài đặtTMG Trước khi bạn bắt đầu triển khai kích thước TMG, bạn cần phải hiểu mạng

và các mẫu lưu lượng truy cập mà TMG sẽ được yêu cầu hỗ trợ Điều này liên quanđến một vài bước, mỗi trong số đó có thể yêu cầu các chu kỳ lặp đi lặp lại kiểm tra

và phân tích

6 GIẢI QUYẾT CÁC MẠNG PHỨC TẠP

Trong nhiều trường hợp, tường lửa thực sự phục vụ lưu lượng truy cập và từcác mạng mà không phải là local firewall

Trang 36

Trong sơ đồ này, TMG phục vụ các host trong ba mạng: Houston, hoạt độngtrong subnet 192.168.1.0/24; Buenos Aires, hoạt động trong subnet 192.168.2.0/24

và London, hoạt động trong subnet 192.168.3.0/24 Tất cả các văn phòng chi nhánhđang sử dụng TMG (nằm trong trụ sở chính) là Web proxy, vì ví dụ này, cơ quanduy nhất có kết nối Internet trực tiếp là chính văn phòng tại Houston

Giống như ISA Server, TMG xác định mạng lưới dựa trên các địa chỉ nằm phíasau cụ thể giao diện mạng Hình II.8.1, các địa chỉ trong ba ID mạng khác nhauđược đặt phía sau NIC duy nhất trong TMG trong văn phòng Houston Bạn sẽ sửdụng tất cả các địa chỉ này khi xác định mạng TMG nằm phía sau NIC

Mô hình liên kế nhiều mạng

7 DNS TRONG TMG

TMG dựa trên Windows để phân giải tên và do đó bất kỳ sai lầm nào do cấuhình ở độ phân giải tên Windows sẽ ảnh hưởng xấu đến TMG

7.1 Hệ thống giải quyết tên phân giải

Windows phân giải tên sử dụng DNS như là phương pháp ưa thích của phângiải tên, tuy nhiên, nếu tên không thể được giải quyết bằng DNS, hệ điều hành sẽ

cố gắng để thực hiện một NetBIOS phân giải tên Đối với độ phân giải tênNetBIOS, hai phương pháp có thể được sử dụng để giải quyết một tên: WindowsInternet Name Service (WINS) và broadcast Nếu mạng của bạn không có một máychủ WINS, Windows sẽ cố gắng để giải quyết các tên bằng cách gửi một broadcast

Trang 37

cho NetBIOS (phần tên máy chủ của tên miền đầy đủ, hoặc FQDN) Ví dụ, khi bạnchạy các lệnh ping srv1.contoso.com, Windows sẽ cố gắng mặc định các bước:1) Kiểm tra xem tên máy chủ local giống như tên nó để giải quyết (Srv1).

2) Kiểm tra xem các tập tin local HOSTS có tên này không

3) Truy vấn DNS server đầu tiên trong ngăn xếp TCP/IP

Các điều hành sẽ gửi một truy vấn đến máy chủ đầu tiên của bộ chuyển đổidanh sách tìm kiếm đó là lý do tại sao nó quan trọng phải có bộ chuyển đổi nội bộ

ở phía trên của danh sách và chờ đợi 1 giây cho một phản ứng Nếu hệ thống điềuhành không nhận được một phản ứng từ máy chủ đầu tiên trong vòng một giây, nó

sẽ gửi truy vấn đến DNS đầu tiên máy chủ trên tất cả các bộ điều hợp và chờ đợihai giây cho một phản ứng Quá trình này lặp đi lặp lại trong chu kỳ của hai, bốn

và tám giây tương ứng

Nếu Windows nhận được một phản ứng tích cực từ các máy chủ DNS, nódừng lại truy vấn cho tên, cho biết thêm các phản ứng vào bộ nhớ cache DNS, vàtrả về đáp ứng cho người dùng Quan trọng là Bạn có thể theo dõi số lượng thấtbại phân giải tên bằng cách mở Performance Monitor, thêm các đối tượng dịch vụMicrosoft Firewall, và giám sát Failed DNS Resolutions Counter

4) Thực hiện phân giải tên NetBIOS nếu kết hợp không được tìm thấy.Windows sử dụng phân giải tên NetBIOS nếu mọi nỗ lực để giải quyết tênmáy chủ DNS sai Windows tương thích với RFC 1001 và 1002, trong đó xác địnhdịch vụ NetBIOS cho TCP và UDP Một trong những cách thức mà hệ điều hànhtương thích bằng cách thiết lập các loại nút Mặc định, Windows sử dụng loạibroadcast node (BNode), tuy nhiên, thiết lập này có thể được thay đổi trongregistry Các giá trị có thể là:

Peer Node Type (PNode) Gửi một truy vấn trực tiếp đến một máy chủ tên

NetBIOS (Ví dụ, WINS)

Mixed Node Type (MNode) Gửi một gói tin broadcast đầu tiên và nếu không

giải quyết được tên, nó sẽ gửi một truy vấn trực tiếp đến máy chủ tên NetBIOS(WINS) Đây cũng được gọi là B+P (BNode+PNode)

Hybrid Node Type (HNode) Gửi một truy vấn trực tiếp với tên NetBIOS máy

chủ và nếu nó không giải quyết được, sẽ gửi một gói tin broadcast Điều này còn đượcgọi là P+B

5) Nếu Hybrid Node Type được sử dụng, quá trình phân giải tên vẫn được tiếp tục theo cách sau đây:

a) Windows kiểm tra bộ nhớ cache Local Name NetBIOS Lên đến 16 tên (mặcđịnh) được tổ chức trong bộ nhớ cache này trong 10 phút

Trang 38

b) Nếu Windows không thể giải quyết tên từ bộ nhớ cache local name NetBIOS,

nó sẽ gửi một tên NetBIOS truy vấn máy chủ WINS chính cấu hình trong AdvancedTùy chọn TCP/IP của giao diện mạng trên đỉnh của danh sách giao diện Nếu máy chủWINS không đáp ứng, Windows sẽ cố gắng liên lạc với tất cả các cấu hình Các máychủ WINS (thứ tự từ trên xuống)

c) Nếu các bước trên không thành công, Windows sẽ kiểm tra fileLMHOSTS nếu LMHOSTS tra cứu được kích hoạt vào tab WINS trong các hộpthoại thuộc tính TCP/IP nâng cao Hộp thoại này được tìm thấy trong các thuộctính TCP/IP của một giao diện mạng trên các tường lửa

d) Windows sẽ gửi một NetBIOS broadcast đến local segment(255.255.255.255) bởi vì, theo mặc định, các bộ định tuyến không cho phép cácchương trình broadcast NetBIOS vượt qua

Không bao giờ cấu hình TMG với một địa chỉ máy chủ DNS nhiềuhơn một giao diện mạng vật lý Nếu bạn có hai card giao diện mạng (Nội bộ

và bên ngoài), địa chỉ IP máy chủ DNS phải được cấu hình trên giao diện chỉ

có một và giao diện phải được trên đầu trang của danh sách các giao diệnmạng

7.2 Ảnh hưởng của DNS

Vấn đề phân giải tên trong TMG là giảm hiệu suất Duyệt web chậm hơn,cũng như chứng thực người dùng Hai vấn đề chính với phân giải tên trong TMGlà:

Name Resolution Delay - Khi TMG sẽ gửi một truy vấn DNS không trả

lời một cách kịp thời, TMG’s worker bị chặn trong khi chờ phản ứng DNS, làmcho số lượng các gói dữ liệu backlogged tăng

Authentication Delay - Cấu hình DNS sai cũng có thể gây ra cho TMG

trì hoãn hoặc không xác thực khi các quy tắc tường lửa yêu cầu chứng thực

7.3 DNS Cache trong TMG

TMG giữ bộ nhớ cache DNS của riêng nó trong wspsrv.exe (đó là Dịch vụFirewall) Thành phần này được xây dựng trên đầu trang của Windows DNSResolver và được sử dụng để giảm số lượng truy vấn DNS, TMG đã thực hiện đểgiải quyết một tên Hình II.9.3.1 cho thấy Các thành phần bộ nhớ DNS Cachetrong TMG

Ngày đăng: 10/10/2014, 13:39

HÌNH ẢNH LIÊN QUAN

Hình II.9.3.1 DNS cache trong TMG - tiểu luận  nghiên cứu triển khai hệ thống tường lửa forefront TMG 2010
nh II.9.3.1 DNS cache trong TMG (Trang 38)
Hình sử dụng TMG và cấu hình. - tiểu luận  nghiên cứu triển khai hệ thống tường lửa forefront TMG 2010
Hình s ử dụng TMG và cấu hình (Trang 52)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w