Nó hỗ trợ truy cập từ xa VPNSingle Network Adapter template có một số hạn chế vì một Forefront TMGserver với chỉ một giao diện mạng không thể được sử dụng như một Firewallthực sự, vì vậy
Trang 1LỜI CẢM ƠN
Em xin được gửi lời cảm ơn sâu sắc đến toàn thể quý Thầy Cô khoa Điện- Điện
tử viễn thông trường Đại học giao thông vận tải TP Hồ Chí Minh nói chung và Quý Thầy Cô ngành Truyền thông và mạng máy tính nói riêng đã tận tình giúp đỡ
và truyền đạt những kiến thức quý báu trong thời gian học tập và rèn luyện tại trường
Em xin chân thành cảm ơn đến thầy Trần Kim Tân, giáo viên hướng dẫn đã tận
tình chỉ bảo, hướng dẫn, tạo mọi điều kiện thuận lợi để em hoàn thành tốt bài báo cáo này
Em xin chân thành cảm ơn đến ban giám đốc Trung tâm đào tạo chuyên gia
mạng quốc tế NewStar , thầy Võ Văn Nhân cùng toàn thể cô chú, anh chị em
trong trung tâm đã tận tình giúp đỡ, hướng dẫn, truyền đạy và tạo mọi điều kiện thuận lợi để em có thể hòa nhập vào môi trường thực tế, nhờ vậy em có thể hoàn thành tốt bài báo cáo thực tập này
Do quy mô đề tài, thời gian và kiến thức còn hạn chế nên không tránh khỏi nhữngsai sót Em kính mong quý thầy cô và các bạn nhiệt tình đóng góp ý kiến để emcủng cố, bổ sung và hoàn thiện thêm kiến thức cho mình
Trang 2NHẬN XÉT KẾT QUẢ THỰC TẬP CHUYÊN MÔN
Thời gian thực tập: 20/2/2013 đến 30/3/2014
Đơn vị thực tập: Trung tâm đào tạo quốc tế NEWSTAR
(240 Võ Văn Ngân, phường Bình Thọ, quận Thủ Đức)
Đề tài: Nghiên cứu triển khai hệ thống tường lửa FOREFRONT TMG 2010 Cán bộ hướng dẫn: Võ Văn Nhân
Nhận xét:
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
Điểm:………
Tp.HCM, ngày….tháng……năm 2014
Cán bộ hướng dẫn
Võ Văn Nhân
Trang 3NHẬN XÉT KẾT QUẢ THỰC TẬP CHUYÊN MÔN
Thời gian thực tập: 20/2/2013 đến 30/3/2014
Đơn vị thực tập: Trung tâm đào tạo quốc tế NEWSTAR
(240 Võ Văn Ngân, phường Bình Thọ, quận Thủ Đức)
Đề tài: Nghiên cứu triển khai hệ thống tường lửa FOREFRONT TMG 2010 Giáo viên hướng dẫn: Trần Kim Tâm
Nhận xét:
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
Điểm:………
Tp.HCM, ngày….tháng……năm 2014
Giáo viên hướng dẫn
Trần Kim Tâm
Trang 4MỤC LỤC
PHẦN 1: GIỚI THIỆU TỔNG QUÁT VỀ TRUNG TÂM ĐÀO TẠO CHUYÊN GIA
MẠNG QUỐC TẾ NEWSTAR 1
1 GIỚI THIỆU VỀ TRUNG TÂM NEWSTAR 1
1.1.Lịch sử hình thành: 1
1.2.Thành tựu đạt được 1
1.3.Hệ thống mạng của trung tâm 2
PHẦN 2: TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 3
1 TỔNG QUAN VỀ FOREFRONT TMG 2010 3
2 LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010 5
2.1.Lịch sử 5
2.2.Quá trình phát triển 5
3 PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010 6
4 CÁC TÍNH NĂNG CỦA TMG 2010 6
4.1.Các chức năng chính 6
4.2.Các tính năng nổi bật của TMG 2010 7
4.3.Yêu cầu cài đặt 9
5 CÁC MÔ HÌNH FIREWALL 10
5.1.Network template 10
5.2.Cấu hình các thiết lập mạng 11
6 CÁC TÍNH NĂNG MỚI 15
7 Triển khai TMG 20
8 YÊU CẦU HỆ THỐNG 25
8.1.Yêu cầu phần cứng 25
8.2.Yêu cầu Phần mềm 26
8.3.Hạ tầng mạng 26
10 GIẢI QUYẾT CÁC MẠNG PHỨC TẠP 29
11 DNS TRONG TMG 30
11.1.Hệ thống giải quyết tên phân giải 30
11.2.Ảnh hưởng của DNS 32
Trang 512 CÁC LOẠI TMG CLIENT 33
12.1.Web Proxy Client 33
12.2.SecureNET Clients 35
12.3.Forefront TMG Client 38
13 GIAO DIỆN TMG 39
13.1.TMG 2010 39
13.2.Monitoring 40
13.3.Firewall policy 41
13.4.Chính sách Web Access 41
13.5.E-Mail Policy 42
13.6.Intrusion Prevention System 43
14 NEW WIZARDS 45
14.1.The Getting Started Wizard 45
14.2.Network Setup Wizard 46
14.3.System Configuration Wizard 46
14.4.Deployment Wizard 47
14.5.The Web Access Policy Wizard 47
15 CẤU HÌNH TMG NETWORKS 48
15.1.Route Relationships 48
15.3.Mạng Rules 51
15.4.Built-In Mạng 52
15.5.Cấu hình mạng được bảo vệ của bạn 54
15.6.Chứng thực Traffic từ mạng được bảo vệ 55
16 NETWORK INSPECTION SYSTEM 55
Thực hiện kiểm tra hệ thống mạng Thực hiện kiểm tra hệ thống mạng 56
17 CACHING 58
18 MALWARE INSPECTION 58
18.1.Tìm hiểu về Inspection Malware trong TMG 58
18.2.Các tùy chỉnh trong Malware Inspection 60
18.3.URL Filtering 65
Trang 6LỜI MỞ ĐẦU
Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xuhướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngànhcông nghiệp cũng như nông nghiệp Điều này phải kể đến sự đóng góp tích cực củacác ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông– Tin Học
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đềphát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạođiều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước Tuynhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại vàphát triển trong không gian kết nối mạng
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụngbảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanhnghiệp được ra đời ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phầncứng kết nối mạng được cung cấp bở hãng Cisco ISA (Internet SercurityAcceleration) Server - ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc góitin, … được cung cấp bởi hãng Microsoft
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thốngmạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp và ứng dụngbảo mật hệ thống mạng doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đãchọn và cùng thảo luận - ứng dụng Microsoft Forefront TMG 2010 trong bảo mậtmạng doanh nghiệp
Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chươngtrình này và chính thức cho ra mắt sản phẩm mới là Microsoft Forefront ThreatManagement Gateway (Forefront TMG) đây chính là một cải tiến đáng kể từ phíaMicrosoft vì thực sự Forefront TMG chính là phiên bản tích hợp của:
Internet Security and Acceleration Server (ISA)
Forefront Client Security
Forefront Security for Exchange Server
Forefront Security for SharePoint
Trang 7TÓM TẮT NỘI DUNG
Bài báo cáo gồm 2 phần:
PHẦN 1: Giới thiệu về trung tâm newstar
PHẦN 2: Nghiên cứu và triển khai hệ thống giải pháp bảo mật dựa trên nền tảng ứng dụng Microsoft Forefront TMG 2010
Trang 8PHẦN 1: GIỚI THIỆU TỔNG QUÁT VỀ TRUNG TÂM ĐÀO TẠO
CHUYÊN GIA MẠNG QUỐC TẾ NEWSTAR
1.GIỚI THIỆU VỀ TRUNG TÂM NEWSTAR
Thành lập vào 01/10/2008 đến này là tròn 5 năm, trải qua một chặng đườngchưa phải là dài nhưng đã đánh dấu bước phát triển đáng ghi nhớ của trung tâmđào tạo chuyên gia mạng quốc tế NewStar Khởi đầu từ ước muốn tạo một môitrường học tập, thực hành tốt nhất cho tất cả cộng đồng IT nói chung và các bạnsinh viên công nghệ thông tin nói riêng, đặc biệt là trong lĩnh vực Network, đếnnay trung tâm đào tạo mạng NewStar đã không ngừng đầu tư xây dựng cơ sở vậtchất, nâng cao chất lượng giảng viên để luôn luôn đảm bảo được chất lượng đàotạo tốt nhất cho tất cả học viên Với sự tin tưởng vào đường lối phát triển của nhànước, Ban Lãnh đạo trung tâm – những người mở đường nhiệt huyết, có tầm nhìnthông suốt đã và đang lèo lái con tàu lớn NewStar vững bước tiến trong tươnglai
1.2 Thành tựu đạt được
5 năm, hành trình vươn ra biển lớn với mong muốn đưa trung tâm trở thành một trung tâm đào tạo tin học nói chung và đào tạo mạng nói riêng mang đẳng cấp quốc tế, NewStar luôn có các chiến lược nâng cao chất lượng dạy và học của trung tâm, hàng năm trung tâm đầu tư trang bị và nâng cấp các thiết bị dạy học
và thực hành mới nhất như máy tính cấu hình cao, router, switch … để đáp ứng nhu cầu thực hành cho học viên giúp học viên nắm bắt được công nghệ Đội ngũ giảng viên không ngừng được trau dồi kiến thức, học tập không ngừng, nâng cao
kỹ năng sư phạm nhằm đảm bảo chất lượng giảng dạy tốt nhất, NewStar cũng tự hào có số lượng giảng viên đạt chứng chỉ CCIE, CCSI nhiều nhất Hàng năm trung tâm đã đào tạo ra hàng ngàn lượt học viên với nền tảng kiến thức vững chắc được trung tâm cấp chứng chỉ kết thúc khóa học đảm bảo cho học viên có thể tìm kiếm một công việc tốt trong lĩnh vực công nghệ thông tin
Ngoài công tác đào tạo chính cho sinh viên, hàng năm trung tâm cũng tựhào được các cá nhân, doanh nghiệp lớn của nhà nước và tư nhân mời đến đàotạo cho đội ngũ nhân viên kỹ thuật của mình Đơn cử là: Trung tâm tích hợp dữliệu tỉnh Bình Thuận, Sở thông tin và truyền thông tỉnh Tây Ninh, …Được sự tintưởng đồng thời với đó là sự gắn bó của trung tâm với các trường đại học, caođẳng trên địa bàn thành phố, NewStar cũng thường xuyên được là khách mời,nhà tài trợ đồng hành tổ chức thành công các sự kiện như: chào đón tân sinh viên
Trang 9tại đại học Sư phạm kỹ thuật, đại học Nông lâm, đại học Tài nguyên & Môitrường TP.HCM, cao đẳng Công nghệ thông tin đại học Bưu chính viễn thông,cao đẳng Công thương, hội thảo “Giải pháp mạng không dây” tại đại học Hutech,
…
Với sự phát triển không ngừng của công nghệ, nhằm nắm bắt xu hướngcông nghệ mới Trung tâm đã thành lập ra nhóm dự án công nghệ cao dành chocác bạn học viên tâm huyết, tạo điều kiện cho các bạn trau dồi kiến thức, kỹ nănglàm việc thực tế, có cơ hội làm việc cùng các chuyên gia Thông qua các chuyên
đề công nghệ như: Ảo hóa, bảo mật, công nghệ đám mây, … và thực hành tại dự
án cụ thể tại các công ty, doanh nghiệp lớn
Cuối tháng 10/2013 NewStar đã có một bước chuyển mình lớn khi trung tâm chuyển sang cơ sở mới được đầu tư trang thiết bị hiện đại hơn tại số 240 Võ Văn Ngân-P.Bình Thọ-Q.Thủ Đức-TP.HCM
1.3 Hệ thống mạng của trung tâm
Trung tâm bao gồm: switch,router, isa Hệ thống liên kết 6 phòng lab (mỗi phòng có 18 máy tính) và một số phòng hành chính
Trung tâm có 6 phòng học hiện đại đạt tiêu chuẩn quốc tế, 1 hội trường với sức chứa 200 người dành cho các hoạt động ngoại khóa Đặc biệt trung tâm cũng
đã trang bị thêm một số lượng lớn máy tính cấu hình cao, Route, Switch, Server phục vụ nhu cầu thực hành và làm Lab cho học viên
Trang 10PHẦN 2:TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA
FOREFRONT TMG 2010
1 TỔNG QUAN VỀ FOREFRONT TMG 2010
Theo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật KasperskyLab, tất cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt vớimột nguy cơ chung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu.Hiện nay nguy cơ này vẫn không được đánh giá đúng mức độ nguy hiểmcủa nó Đối với những người sử dụng máy tính thông thường, giới tin tặc thườngnhắm đến các thông tin cá nhân như mật khẩu, chi tiết tài khoản ngân hàng, sốthẻ tín dụng, tài liệu riêng tư… ở các tổ chức lớn hơn như doanh nghiệp nhỏ, tậpđoàn thậm chí là cơ quan chính phủ, việc rò rỉ thông tin về tài liệu nội bộ công ty,tình hình tài chính, an ninh quốc gia… có thể gây ra tổn thất to lớn về mặt kinh
tế, chính trị… Các malware đánh cắp dữ liệu bao gồm các dòng malware nhưtrojan can thiệp hoạt động giao dịch ngân hàng, trojan đánh cắp mật mã và cáctrojan gián điệp Các mối hiểm họa này đang gia tăng với tốc độ chóng mặt 87%trong năm qua và đặc biệt các dòng phần mềm gián điệp tăng đến 135%
Theo nhận định của ông Raymond Goh, Giám đốc Kỹ thuật Khu vực ĐôngNam Á, phụ trách mảng thiết kế hệ thống và dịch vụ tư vấn khách hàng củaSymantec, năm 2011 tình hình an ninh mạng vẫn quy tụ đầy đủ quanh 5 xuhướng tấn công chính của năm 2010 nhưng mức độ lớn hơn, độ phức tạp tăng lên
và tinh vi hơn rất nhiều Đó là tấn công có mục tiêu tiếp tục nở rộ, dùng mạng xãhội và kỹ thuật xã hội để xâm nhập vào hệ thống, tăng mạnh các gói công cụ tấncông, tin tặc luôn ẩn mình và tìm kiếm cơ hội tấn công, các mối nguy hại từ thiết
bị di động tăng mạnh
Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại
Do đó, các hệ thống mạng doanh nghiệp trên toàn cầu đều cấp thiết tìm giảipháp bảo mật, ngăn chặn các mối nguy hại từ các cuộc tấn công từ Internet Song
Trang 11song đó có rất nhiều công ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp,sản phẩm và thiết bị hỗ trợ cho việc an ninh hệ thống mạng Trong số đó, công typhần mềm hàng đầu thế giới Microsoft đã trình làng Microsoft Forefront ThreatManagement Gateway (TMG) 2010, một thế hệ mới của phần mềm tường lửaphát triển trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tíchhợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mãđộc hại khi truy cập Internet Hơn thế nữa, Microsoft Forefront TMG 2010 chính
là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront ClientSecurity, Forefront Security for Exchange Server và Forefront Security forSharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:
Bảo vệ hệ thống đa dạng và hoàn thiện
Phát hiện virus, malware và ngăn chặn tấn công
Giao diện quản lý thân thiện và dễ dàng
Giám sát hệ thống mạng được tăng cường
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa(Firewall) là chương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ravào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng.Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN,các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần longại về phầm mềm độc hại và các mối đe dọa khác Nó cung cấp nhiều lớp bảo
vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một,(TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảomật web Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng củachúng ta sẽ được chia ra làm 3 phần riêng biệt:
Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế
giới, chính là máy Forefront TMG
External Network - là mạng Internet, như vậy mạng Internet được xem
như là một phần trong mô hình Forefront TMG mà thôi
Mô hình tổng quan 3 lớp mạng của tường lửa
Trang 122 LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010
2.1 Lịch sử
Sự phát triển của Forefront TMG 2010
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính làISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệđiều hành trước đó như: Windows Server 2000, Windows XP, Windows Server
2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như:Windows 7, Windows Server 2008 Vì thế để cài đặt một tường lửa trên các hệđiều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụngđến một software mới của Microsoft đó là Microsoft forefront ThreatManagement Gateway 2010
2.2 Quá trình phát triển
Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạnphát triển sau:
1/1997 - Microsoft Proxy Server v1.0 (Catapult)
18/03/2001-Microsoft Internet Security and Acceleration Server 2000
Trang 133 PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010
Produ
ction
Licenses
Forefront TMG 2010 Standard Edition
Forefront TMG 2010 Enterprise Edition
Forefront TMG 2010 Enterprise Edition 25- processor pack
Forefront TMG Web Protection Service
Price
$1,499 per processor
$ 5,9999 per processor
$ 75,000 for
25 processor
$ 12,00 per user or device, annually
4 CÁC TÍNH NĂNG CỦA TMG 2010
4.1 Các chức năng chính
4.2 Các tính năng nổi bật của TMG 2010
Những Tính năng nổi bật của Forefront TMG 2010 Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP
thông qua TMG
ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho
nhiều đường truyền internet
Trang 14Web Anti-Malware - Quét virus, phần mềm độc hại & các mối
đe dọa khác khi truy cập web
URL Filtering - Cho phép hoặc cấm truy cập các trang web theo
danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, muasắm, chat
HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS
để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSLCertificate
E-mail Protection Subscription Service - Tích hợp với
Forefront Protection 2010 for Exchange Server & Exchange Edge TransportServer để kiểm soát virus, malware, spam e-mail trong hệ thống MailExchange
Network Inspection System (NIS) - Ngăn chặn các cuộc tấn
công dựa vào lỗ hổng bảo mật
Network Access Protection (NAP) Integration - Tích hợp với
NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép clientkết nối VPN
Security Socket Tunneling Protocol (SSTP) Integration - Hỗ
trợ VPN-SSTP
Windows Server 2008 with 64-bit support - Hỗ trợ Windows
Server 2008 & Windows Server 2008 R2 64-bit
So sánh các tính năng trong Forefront TMG Standard và Enterprise
Standard Edition Enterprice Edition
+CALs) and installation by the admin
Trang 15So sánh các tính năng giữa ISA 2006 và Forefront TMG
2006
Forefront TMG
4.3 Yêu cầu cài đặt
System
Compoment
Minimum Requirements Recommended
RequirementsOperating
System
Windows Server 2008 SP2 (64-bit) or Windows Server 2008 R2
Windows Server 2008 SP2 (64-bit) or Windows Server 2008 R2
Processor Type 64-bit 64-bit
Disk Space 2.5 GB of available
hard disk space
2.5 GB of available hard disk space
Disks Một phân vùng đĩa
cứng cục bộ được định dạngvới hệ thống tập tin NTFS
Hai phân vùng đĩa cứngcục bộ được định dạng với
hệ thống tập tin NTFS Một đĩa cho hệ thống và TMG logging, một cho bộ nhớ đệm và kiểm tra phần mềm độc hại
Network Một card mạng tương
thích với hệ điều hành máy tính và truyền thông với mạng nội bộ
Một bộ chuyển đổi
Một card mạng tương thích với hệ điều hành máy tính và truyền thông với mạng nội bộ
Một bộ chuyển đổi
Trang 16mạng bổ sung cho mỗi mạngkết nối với máy chủ
Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai
mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng
NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa
hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằngđịa chỉ IP của network adapter tương ứng
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo cácrule cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối
1.1 Network template.
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫuđược thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điểnhình Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu Ở đây tất
cả những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diệnquản lý TMG Management
Trang 17Network setup wizard
1.2 Cấu hình các thiết lập mạng
Launch Getting Started Wizard cho phép bạn chọn Network Template
cần thiết để cấu hình Forefront TMG cung cấp cho bạn tới 4 Network Template:
Trang 18Edge Firewall Template
Edge Firewall template là một Network Template cũ và kết nối mạng bêntrong với Internet, được bảo vệ bởi Forefront TMG Một Edge Firewall templateđiển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server Đây
là tùy chọn mặc định và một trong những sử dụng trong đa số trường hợp Điềunày sẽ tạo ra một mạng nội bộ mặc định và một mặc định ngoài mạng
1.2.2 3-Leg Perimeter
3-Leg Perimeter Template
3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiềunetwork adapter Một network adapter kết nối mạng bên trong, một networkadapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ(Demilitarized Zone), cũng được gọi là Perimeter Network Perimeter Networkgồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệbởi Forefront TMG Các dịch vụ điển hình trong một DMZ là Web Server, DNSServer hoặc WLAN network Một 3-Leg Perimeter Firewall cũng thường đượcgọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực” Một DMZđích thực chính là vùng giữa hai Firewall khác nhau
1.2.3 Back Firewall
Trang 19Back Firewall Template
Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn nhưmột bức tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bứctường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũngnhư một mặc định mạng nội bộ Back Firewall template có thể được sử dụng bởiForefront TMG Administrator, khi Forefront TMG được đặt phía sau FrontFirewall Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ
và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tínhtrong DMZvà từ Front Firewall
1.2.4 Single Network Adapter
Single Network Adapter Template
Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên cácbức tường lửa TMG Điều này chỉ được sử dụng khi các bức tường lửa là cóđược sử dụng như một máy chủ proxy web Cấu hình này không hỗ trợ bất kỳgiao thức khác hơn so với HTTP, HTTPS và FTP Nó hỗ trợ truy cập từ xa VPNSingle Network Adapter template có một số hạn chế vì một Forefront TMGserver với chỉ một giao diện mạng không thể được sử dụng như một Firewallthực sự, vì vậy nhiều dịch vụ theo đó mà không có Nó chỉ có các tính năng dướiđây:
Trang 20 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.
Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty
Web publishing để bảo vệ các máy chủ FTP và published Web
Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũngđược gọi là Outlook Anywhere trong Exchange Server 2007)
Microsoft Forefront Threat Management (TMG) 2010 là một tường lửa cólớp ứng dụng thông minh và khả năng chống phần mềm độc hại có thể được sửdụng để xác định và giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại.Forefront TMG là kế thừa cho Microsoft ISA Server và bao gồm tất cả các chứcnăng ISA Server đồng thời nâng cao khả năng sử dụng, bảo mật, và chức năng.Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sungmới cho bộ sản phẩm Forefront Edge TMG chủ yếu là nhắm mục tiêu vào cáctình huống bên ngoài, chẳng hạn như những người tạo ra bởi các host trên mạngđược bảo vệ; UAG chủ yếu là nhắm mục tiêu vào các tình huống bên trong, nhưtrong trường hợp Microsoft SharePoint hoặc Exchange, Web Publishing
Hai phiên bản của TMG là:
TMG Medium Business Edition (MBE) trong đó có sẵn trong một
phiên bản độc lập hoặc với Windows Essential Bussiness Server (EBS).1
TMG 2010 cho tất cả các triển khai khác.
TMG MBE đã được phát hành với Windows EBS vào cuối năm 2008 TMG 2010 được phát hành vào cuối năm 2009.
Trang 21ĐẶC ĐIỂM T
MGMBE
TMGFULL
Windows Filtering Platform (WFP)
*TMG MBE run as 32-bit processes
So sánh các tính năng của TMG MBE và TMG FULL
Forefront TMG Management Console được tổ chức lại để đơn giản hóatrong cấu hình và giám sát Nhiều điều khiển định hướng nhiệm vụ được chuyểnđến gần hơn và dễ dàng truy cập hơn trong tab Task
Giao diện quản lý của Forefront TMG 2.CÁC TÍNH NĂNG MỚI
Trang 22Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native Bit
64-Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nên cầnthiết phải có các thiết bị để xử lý lưu lượng truy cập nhanh ISA Server là một
"phần mềm" tường lửa dựa trên hệ điều hành Windows Một hạn chế được biếtđến của ISA Server là nó không thể được cài đặt trên một nền tảng 64-bit TMGkhông có giới hạn này, bạn phải cài đặt chúng trên hệ điều hành 64-bit WindowsServer 2008 và Windows EBS cũng hỗ trợ môi trường 64-bit Với việc giới thiệu
hỗ trợ 64-bit, tường lửa TMG có thể sử dụng hơn 4 gigabyte (GB) bộ nhớ RAM
Hỗ trợ Web Antivirus và Anti-Malware
Tường lửa TMG có thể phát hiện và cô lập nội dung độc hại trong luồngthông tin HTTP trước khi nó đến đến khách hàng Tính năng này cung cấp thêmlớp bảo vệ và tăng cường an ninh cho tất cả các host trên mạng được bảo vệ bởiTMG
Các bộ lọc HTTP Malware là một bộ lọc web chặn luồng dữ liệu giữangười dùng và máy chủ Web Nội dung của luồng dữ liệu này được lưu trữ trong
bộ nhớ hoặc trên đĩa, tùy thuộc vào kích thước của nội dung MPEngine TMG(Microsoft Malware Protection Engine) quét nội dung trước khi nó được phânphối cho người dùng
Để hiểu rõ hơn quá trình này, hình II.3.1 minh họa làm thế nào các yêu cầu
từ người dùng lấy từ máy chủ Web, chặn bởi các bức tường lửa TMG, thông qua
để MPEngine và cuối cùng, trả lại cho người dùng sau khi xử lý
MPEngine và các bước xử lý
Minh họa các bước sau:
Trang 231) Yêu cầu ban đầu từ người dùng bị chặn bởi các cơ Firewall TMG.
2) Yêu cầu được chuyển tiếp từ TMG đến Web Server
3) Các phản hồi từ máy chủ Web được trả lại cho TMG
4) Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web
5) Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trướckhi kiểm tra
6) Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy
bộ nhớ, tùy thuộc vào kích thước
7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc
8) Bộ lọc gửi nội dung đến Edge Malware Protection (EMP) Máy quét đểkiểm tra
9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọcweb
11) Việc xử lý đích lấy nội dung tích lũy
12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP
13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại
để xử lý đích
14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng
15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine
16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMGtích lũy nội dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về,
và sau đó kiểm tra nội dung Nếu nội dung được tải về và kiểm tra trong vòng 10giây, TMG chuyển tập tin đến người dùng cuối Nếu nội dung được tải về vàkiểm tra các tập tin mất hơn 10 giây, TMG sẽ gửi một trang tiến độ HTML chongười dùng thể hiện tiến trình tải về hoặc cho thấy một phản ứng trickled tùythuộc vào loại nội dung được tải về Một phản ứng trickled là cùng một loại phảnứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác
Giao diện người dùng, quản lý và báo cáo nâng cao
TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services(SRS) SRS có thể tạo ra các báo cáo từ cơ sở dữ liệu SQL SRS cho phép báocáo thiết kế và định nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch
Trang 24vụ Web có thể lập trình giao diện, và nhiều hơn nữa SRS gồm dịch vụ cơ sở dữliệu và trong trường hợp của SRS 2005, dịch vụ web được tổ chức bởi IIS, IISyêu cầu trên máy tính TMG vì lý do này IIS cũng được yêu cầu cho WindowsEBS quản lý báo cáo từ xa IIS không phải là một vai trò cần thiết cho TMG
2010.2
Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phầnmềm độc hại, lọc URL và phòng chống xâm nhập TMG báo cáo bao gồm thôngtin không có sẵn trong các phiên bản trước của các bức tường lửa Khi ForefrontProtection Manager 2010 (FPM) được khởi động, TMG 2010 sẽ tích hợp hoàntoàn với FPM cung cấp một giải pháp bảo vệ end-to-end Báo cáo TMG có thểđược xem hoặc kiểm soát từ giao diện báo cáo FPM
TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiệnviệc tạo ra báo cáo và quản lý
Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đónhận được một thông báo HTML mà bạn cấm truy cập vào website để vào trangweb bị cấm theo chính sách công ty Thông báo HTML có thể được cấu hình trênTMG
Trang 25và gửi lại cho người dùng Trong cách này tất cả lưu lượng HTTPS có thể đượcTMG kiểm tra trước khi nó được thông qua giữa máy khách và máy chủ.
Hỗ trợ E-Mail Anti-Malware và Anti-Spam
TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năngchống phần mềm độc hại
Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm trabằng cách sử dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho ngườidùng Đối với các giao thức SMTP, bạn có thể xác định một con đường SMTP, làmột thực thể đại diện cho một liên kết giữa TMG và nội bộ hoặc các máy chủ thưbên ngoài Mục đích các tuyến đường SMTP là để đơn giản hóa cấu hình và cungcấp một liên kết giữa TMG và Internet, giữa TMG và published mail server Giaodiện người dùng mới làm cho nó dễ dàng hơn để quản lý cấu hình published mailserver, bạn chỉ cho phép antivirus (AV) quét trên các tuyến đường SMTP
Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưulượng truy cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độcđược gửi qua e-mail
Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)
Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu làbởi vì nó có thể được sử dụng như một biện pháp chủ động để phát hiện xâmnhập IPS là một thiết bị bảo vệ hệ thống Một IPS thường được coi là một phần
mở rộng của Intrution Detection System (IDS), nhưng cũng có thể được xem như
là một hình thức kiểm soát truy cập, tương tự như một lớp ứng dụng tường lửakhông chỉ phát hiện hoạt động đáng ngờ, nhưng cũng có các biện pháp phòngngừa để ngăn chặn xâm nhập và cho phép được lựa chọn con đường đi qua.TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS.TMG 2010 cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc
Trang 26Giao diện Intrusion Prevention System (IPS)
The Session Initiation Protocol (SIP) Filter
Bộ lọc Session Initiation Protocol (SIP) được đi kèm với TMG, hỗ trợ âmthanh
và video thông qua các bức tường lửa TMG và cũng cho phép người dùngchuyển các tập tin và chia sẻ ứng dụng
TFTP Filter
TMG bao gồm Trivial File Transfer Protocol (TFTP) Filter TFTP thườngđược sử dụng bởi BootP client để tải về một hệ điều hành Ngoài ra, do nhiều
điện thoại sử dụng TFTP để download các file cấu hình, các bức tường lửa TMGcung cấp hỗ trợ TFTP tạo điều kiện thuận lợi cho những yêu cầu này bằng cách
sử dụng bộ lọc TFTP Việc sử dụng TFTP để di chuyển dữ liệu vào máy tính mớiđược triển khai TFTP là một truyền tập tin giao thức tương tự như File TransferProtocol (FTP), nhưng hoạt động khá khác nhau một chút và sử dụng khác nhau.Bởi vì ISA Server thường được dùng để cô lập mạng lưới của nhau và khônghiểu làm thế nào để quản lý TFTP Communications, nên việc triển khai tự độngcủa Windows và bằng ảnh đĩa thường bị thất bại TMG giải quyết vấn đề nàybằng cách thêm một bộ lọc TFTP để cung cấp sự quản lý tốt hơn và an toàn hơn
Network Functionality Enhancements (Cải tiến chức năng mạng)
Trang 27Trong tất cả các phiên bản trước đây của ISA Server, khi một mối quan hệNetwork Address Translation (NAT) tồn tại giữa các mạng, ISA không cho phépxác định địa chỉ IP bên ngoài, ngay cả khi giao diện bên ngoài có nhiều địa chỉ
IP Thay vào đó, ISA luôn luôn sử dụng chính Địa chỉ IP kết hợp với giao diện,làm cho địa chỉ IP của địa chỉ nguồn cho tất cả các outboud traffic Tương tự nhưvậy, ISA không thể làm cho việc sử dụng kết nối nhiều hơn một ISP, khiến nhiềungười dùng phải mua một thiết bị riêng biệt để đáp ứng nhu cầu này
Nat address Selection (Lựa chọn địa chỉ NAT)
Các tường lửa TMG có NAT cải tiến mới cho phép bạn chỉ định địa chỉ để
sử dụng cho các yêu cầu gửi đi khi có một mối quan hệ NAT giữa các thực thểmạng Ngoài ra, nếu TMG có nhiều địa chỉ IP bên ngoài, bạn có thể chỉ định địachỉ được xem bởi các máy chủ SMTP từ xa Điều này đặc biệt hữu ích nếu cóhạn chế địa chỉ IP đang được để bảo vệ thư rác tại SMTP Server từ xa Lựa chọnđịa chỉ NAT được thiết lập thông qua các New Network Rule Wizard
Edge firewall3-leg perimeter firewallBack firewall
Trang 28Single NIC Web proxy server
3.1 Edge Firewall
Khi được triển khai như một edge Firewall, nhiệm vụ chính của TMG làhành động như một layer-2 và layer-3 tường lửa cho traffic được gửi đến và từInternet Ngay cả khi TMG cũng được triển khai để cung cấp cấp cao hơn, bảo vệlớp ứng dụng (chẳng hạn như IDS, lọc URL, kiểm tra phần mềm độc hại) và nhưvậy, nhiệm vụ chính của TMG vẫn còn như một tường lửa kiểm tra gói stateful
Là một edge firewall, giao diện bên ngoài phải đối mặt với Internet và giao tiếpnội bộ phải đối mặt với mạng LAN được bảo vệ Ưu điểm lớn nhất của việc sửdụng TMG là một bức tường lửa cạnh là nó cung cấp cho TMG truy cập trực tiếp
mô hình mạng được thiết kế để kiểm soát Với một vài thiết bị bổ sung trong conđường mạng, TMG có khả năng tốt hơn để đánh giá và đưa ra quyết định kiểmsoát thích hợp Đây cũng là mặc định triển khai cấu hình cho UAG
Mẫu này cung cấp những lợi ích sau đây:
TMG chặn tất cả các truy cập trái phép vào mạng nội bộ từ Network mặcđịnh bên ngoài
TMG ẩn Mạng nội bộ mặc định từ bên ngoài
Bạn có khả năng cung cấp truy cập an toàn tới các máy chủ nội bộ bằngcách publish chúng
Trang 29chế kiểm soát mà bạn sẽ sử dụng tại các địa điểm khác nhau vào trong một điểmkiểm soát mạng.
3-Leg Perimeter hỗ trợ bạn trong việc thực hiện một mạng vành đai, đượcgọi là khu vực phi quân sự hoặc DMZ Mạng vành đai này được sử dụng để phơibày an toàn tài nguyên được chia sẻ bởi những người dùng đến từ các mạngkhông tin cậy (chẳng hạn như Internet) và mạng đáng tin cậy (mạng bảo vệTMG) Mẫu thiết lập TMG với ba giao diện mạng: Một card mạng được kết nốivới Internet (bên ngoài mạng), một kết nối vào mạng nội bộ, và một kết nối vớimạng vành đai Tùy chọn 3 Leg Perimeter là không có sẵn nếu bạn có ít hơn baNIC
Trong quá trình lựa chọn này, bạn cần phải xác định xem các địa chỉ IPđược sử dụng trên mạng Perimeter là public hay private Đây là một quyết địnhquan trọng bởi vì nó cũng ảnh hưởng đến mối quan hệ giữa các mạng vành đaivới các mạng nội bộ và bên ngoài Mạng vành đai thường sử dụng địa chỉ IPriêng vì bạn muốn ẩn địa chỉ IP thực của nguồn tài nguyên từ Internet
Mô hình mạng 3-Leg Perimeter
Mẫu này cung cấp những lợi ích sau đây:
Nó bảo vệ mạng nội bộ mặc định từ các cuộc tấn công bên ngoài
Cho phép bạn publish một cách an toàn các dịch vụ Internet bằng cách đặtchúng trong một khu vực perimeter
Người dùng bên ngoài có thể truy cập tài nguyên nằm trong mạng vành đaitrong khi vẫn đang bị ngăn chặn truy cập vào tài nguyên nội bộ
3.3 Back Firewall
Back Firewall là một biến thể của mẫu Edge Firewall ngoại trừ giao diệnbên ngoài các bức tường lửa TMG được kết nối với một phân đoạn mạng vànhđai giữa nó và giao diện nội bộ của một bức tường lửa ở thượng nguồn Như vậy,mục cấu hình mạng mẫu đã được cập nhật để cung cấp cho bạn tùy chọn để xácđịnh các mối quan hệ mạng giữa mạng nội bộ và Perimeter Networks là mộttrong hai tuyến đường hoặc NAT Lợi thế triển Back Firewall là với một thiết bịriêng biệt xử lý các quyết định traffic ở mức độ thấp, TMG có nhiều nguồn lựchơn để áp dụng cho kiểm soát lọc lưu lượng truy cập cao hơn
Trang 30Mẫu này cung cấp những lợi ích sau đây:
Kiểm soát truy cập
Nhiều lớp bảo vệ
Tách nhiệm vụ (Mỗi firewall chịu trách nhiệm cho các cấu hình giaothông khác nhau)
Khi bạn chọn mẫu này bằng cách sử dụng Getting Started Wizard, bạn có
để xác định các bộ chuyển đổi được kết nối với mạng nội bộ mặc định và bộchuyển đổi được kết nối với mạng perimeter
Mô hình mạng Back Firewall 3.4 Single-NIC
NIC duy nhất thường được gọi như Unihomed Tùy chọn này cung cấpchức năng tường lửa cho máy tính mà trên đó TMG hoạt động Giống như ISA
2006, một TMG Unihomed chỉ có thể cung cấp hỗ trợ cho lưu lượng truy cập dựatrên HTTP (CERN proxy hoặc Web Publishing) và dial-in VPN các khách hàngVPN Với ISA 2006, mạng hợp lệ cho một Unihomed TMG là:
Local host mạng này bao gồm tất cả các địa chỉ IP được
gán cho máy tính TMG, không chỉ là mạng 127/8
Internal Network bao gồm tất cả các địa chỉ IP không
được giao để dial vào một trong các VPN Client
VPN client mạng này bao gồm chỉ những địa chỉ đã được
định nghĩa cho sử dụng bởi các quản trị viên TMG
Quarantined VPN Client Mạng bao gồm chỉ có các địa
chỉ IP định nghĩa cho sử dụng bởi VPN client không đáp ứng các yêucầu bảo mật theo quy định cho kết nối VPN
Một lợi thế của triển khai Single NIC là tài nguyên TMG có thể được dànhriêng để xử lý những traffic HTTP liên quan Một ưu điểm khác của Unihomed làbạn không bao giờ cần phải ghi lại số Network để hỗ trợ một Unihomed TMGFirewall
Sử dụng mẫu Single NIC khi bạn muốn giới hạn bức tường lửa với mộthoặc nhiều vai trò sau đây :
Trang 31 A forward Web proxy server
A Web caching server
A VPN remote-access client server
Bạn không thể sử dụng một TMG Single NIC để bảo vệ các cạnh mạng củabạn TMG Single NIC không có khái niệm của một mạng bên ngoài, bởi vì nó chỉ
có một giao diện mạng và cổng mặc định cho kết nối vượt ra ngoài mạng riêng củabạn nằm trên cùng một card mạng Do đó, các mạng chỉ có localhost (bản thânTMG) và nội bộ Ngoài ra, Single NIC không được hỗ trợ 1 số tính năng:
Application Filtering - Mặc dù TMG được xây dựng trong sự kiểm tra
lớp ứng dụng Sự kiểm tra lớp ứng dụng chỉ cho HTTP/HTTPS, FTP và lưu lượngtruy cập qua giao thức HTTP
Publishing Server - Các tính năng Server Publishing đòi hỏi hai giao
diện mạng (NIC), mẫu này chỉ hỗ trợ một NIC duy nhất
TMG Client - không được hỗ trợ.
SecureNET Client - không được hỗ trợ.
Thậm chí nếu bạn cấu hình một bộ chuyển đổi mạng để sử dụng hai hoặcnhiều địa chỉ IP hoặc bạn thêm một bộ chuyển đổi mạng thứ hai và sau đó vô hiệuhóa nó trong một số trường hợp hạn chế một số người làm việc xung quanh, cấuhình này vẫn không hỗ trợ thêm cho các yêu cầu trên
Sau khi bạn áp dụng mẫu Single NIC, các địa chỉ sau đây được loại trừ từ mạng:
Trang 32Yêu cầu tối thiểu cho TMG 2010 là:
Một phiên bản 64-bit của Windows Server 2008 Standard, Enterprise, hoặc data center RTM với Service Pack 2 (SP2) hoặc R2
Một CPU lõi kép
Một phân vùng đĩa cứng định dạng với hệ thống tập tin NTFS
150 MB đĩa cứng không gian
ít nhất một card mạng tương thích với hệ điều hành và có thể giao tiếp vớimạng nội bộ (ít nhất hai giao diện mạng được yêu cầu hỗ trợ chức năng tường lửa)
Một card mạng cho mỗi mạng vật lý TMG sẽ được kết nối
Đây là những yêu cầu tối thiểu Chúng không được khuyến cáo làm việc tốtnhất như tường lửa TMG hoặc máy chủ Web proxy, cũng không giải quyết nhu cầucho các ổ đĩa bổ sung không gian cho các file log, bộ nhớ đệm Web, và các hoạtđộng TMG quan trọng khác Trong các tình huống có một số lượng lớn người dùngkết nối thông qua TMG cho Web proxy hoặc truy cập từ xa VPN, yêu cầu bộ nhớ
có thể tăng lên chóng mặt Tương tự như vậy, yêu cầu không gian đĩa có thể lớnhơn nhiều nếu bạn có kế hoạch để tận dụng khả năng bộ nhớ đệm Web TMG
Từ một góc độ quản lý đĩa, TMG thường được cài đặt trên một đĩa cứng duynhất với hai hoặc nhiều phân vùng hợp lý Ở mức tối thiểu, tất cả các thành phần cóthể được cài đặt trên cùng một phân vùng Tuy nhiên, tùy thuộc vào vai trò củaTMG, và để đảm bảo rằng đĩa không đầy nhanh chóng, thư mục tập tin file log và
bộ nhớ cache có thể được lưu trữ trên ổ đĩa vật lý riêng biệt
Khi TMG được cài đặt trên một hệ điều hành Windows Server 2008, nó đượccài đặt như sau:
The Active Directory Lightweight Directory Services Server Role
Trang 33 The Web Server (IIS) Server Role (chỉ dành cho SRS 2005 )
Microsoft SQL Express (Microsoft Forefront TMG logginginstance)
Microsoft SQL Express (Microsoft Forefront TMG reportinginstance)
Microsoft SQL Server Setup Support Files
Microsoft SQL Server Volume Shadow Copy Service (VSS) Writer
bản cài đặt SQL Server Express)
Mặc định của IIS trên TMG MBE liên kết với các cổng TCP 8008 Bạnkhông nên sửa đổi giá trị này vì các liên kết báo cáo chuẩn được cấu hình sẵn để
sử dụng cổng TCP 8008 Khi TMG được gỡ bỏ, IIS Server và các thành phầnOffice Web thì không được gỡ bỏ Bạn phải loại bỏ các thành phần này một cáchthủ công
4.3 Hạ tầng mạng
Hiệu suất TMG bị ảnh hưởng bởi cơ sở hạ tầng mạng nơi mà nó hoạt động.Nếu bất kỳ thành phần cơ sở hạ tầng mạng nào thực hiện ít hơn so với hiệu quảtối ưu, TMG sẽ cố gắng để bù đắp thông qua việc sử dụng lưu lượng truy cậpđệm (backlog) cơ chế được xây dựng trong TMG Bạn cần phải giải quyết một sốvấn đề khi thiết kế triển khai TMG của bạn, tất cả các điều này có thể có một tácđộng đáng kể trên hiệu suất TMG, ổn định và an ninh:
Phân giải tênXác thựcThiết bị kiểm soát giao thông (IDS và IPS)
4.3.1 Tên phân giải
TMG phụ thuộc nhiều vào hoạt động phân giải tên và một DNS hỗ trợ cơ
sở hạ tầng
Khi chính sách TMG đề cập tới các điểm đến như tên (thường là các trườnghợp cho lưu lượng truy cập HTTP), TMG phải thực hiện tên và phân giải địachỉ IP để đảm bảo rằng các quy tắc có thể được đánh giá cho cả hai trường hợp(địa chỉ IP hoặc tên dựa trên yêu cầu) Mặc dù TMG duy trì bộ nhớ cache tênriêng của mình để cải thiện tên và tra cứu hiệu suất địa chỉ IP, TMG phải phụthuộc vào Windows để thực hiện các tên ban đầu hoặc phân giải địa chỉ IP Như
Trang 34vậy, hiệu quả sử dụng lưu lượng truy cập tỷ lệ thuận với hiệu quả cơ chế phângiải tên của Windows.
Windows cấu hình phân giải tên TMG phụ thuộc vào cơ chế phân giải tênWindows Bởi vì Windows được thiết kế để được triển khai trong cấu hìnhnhiều mạng Vì phần lớn các lưu lượng truy cập xử lý bởi TMG HTTP-based vàdành cho Internet, Windows được cấu hình như một NetBIOS mặc định Điềunày có nghĩa là nếu Windows có sẵn dịch vụ DNS và WINS cho nó và các truyvấn DNS và WINS không cung cấp thành công hoặc phản ứng thất bại,Windows sẽ rơi trở lại chương trình broadcast tên NetBIOS Các điểm sau đâyảnh hưởng đến việc triển khai TMG:
Phần lớn yêu cầu phân giải tên TMG cho máy chủ Internet Phân giải ngược Internet có xu hướng thất bại bởi vì ít quan tâmcập nhật Reverse Lookup Zones
Chương trình broadcast NetBIOS là cơ chế dự phòng mặc định.TMG broadcast lưu lượng truy cập theo mặc định
Bởi vì broadcast lưu lượng truy cập không phải là chức năng trên Internet
và bởi vì TMG broadcast lưu lượng truy cập bằng cách mặc định nên NetBIOSbroadcast sẽ thất bại Vì cơ chế hoạt động của NetBIOS broadcast, nó có thểmất đến một phút để báo cáo thất bại, gây ra sự chậm trễ hay thất bại rất cao để
xử lý traffic TMG Bởi TMG cũng ghi nhật ký các gói dữ liệu broadcast, thêmchi phí xử lý phát sinh cho lưu lượng truy cập đã gây ra sự chậm trễ xử lý lưulượng
Cách tốt nhất để ngăn chặn lưu lượng Broadcast đến NetBIOS (và cải thiệnđáng kể hiệu suất TMG) là cấu hình Windows như một máy chủ peer-nodebằng cách sử dụng sau đây để đăng ký giá trị:
Đường dẫn: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters
4.3.2 Xác thực
Một trong những lợi ích chính của việc triển khai TMG là khả năng đểkiểm soát lưu lượng truy cập dựa trên bối cảnh người dùng Bởi vì tất cả cácyêu cầu người dùng đã gửi ban đầu mà không có thông tin này, TMG phải yêu
Trang 35cầu các thông tin và sau đó tham khảo những thông tin quan trọng để một nhàcung cấp dịch vụ xác thực cho xác nhận Sự chậm trễ hoặc lỗi gặp phải trongquá trình xác thực cũng ảnh hưởng xấu đến TMG thực hiện Bạn nên hiểu cácđiểm sau đây về xác thực cho TMG:
Windows Authentication - Trong một môi trường nơi TMG phải
xác thực yêu cầu bằng cách sử dụng các thông tin quan trọng củaWindows, TMG phải sử dụng các phương pháp xác thực Windows Nếucác tài khoản người sử dụng là một phần của một cấu trúc miền, TMGphải là thành viên của cùng một miền hoặc một miền tin tưởng Nếukhông, các tài khoản người dùng phải được phản ánh trong TMG - cơ sở
dữ liệu local của SAM
Non-Windows Authentication - Để chứng thực lưu lượng truy
cập, Web Proxy tìm nguồn cung ứng từ một mạng được bảo vệ nghe(thường gọi là outbound traffic Web proxy), TMG có thể xác thực ngườidùng dựa trên Windows hoặc RADIUS Khi TMG sử dụng RADIUSxác thực, yêu cầu xác thực từ TMG cho người dùng được xem nhưHTTP cơ bản
Xác thực tải - Đối với Windows xác thực, thường một tên miền
điều khiển Đối với Windows không xác thực, có thể được RADIUShoặc đăng nhập máy chủ LDAP dựa trên thư mục Nếu thông tin khôngđáp ứng nhanh chóng, yêu cầu kết quả tồn đọng sẽ làm suy yếu hiệu suấtTMG và tạo ra một trải nghiệm người dùng không thể chấp nhận đượcthường được diễn tả như "Internet là hết sức chậm"
5 PHÂN TÍCH YÊU CẦU MẠNG
Để kiểm soát tốt hơn mạng của bạn, bạn nên biết các ứng dụng đang chạy vàgiao thức họ sử dụng, điều này cho phép bạn để tạo ra hồ sơ lưu lượng truy cập củabạn Bằng việc xác định các ứng dụng, xác định những người sở hữu các ứng dụng,
và xác định các giao thức và cấu trúc liên kết mạng, bạn có thể xác định tốt hơn nơiTMG nên được cài đặt và những nguyên tắc mà bạn cần để tạo ra Xác định địa chỉ
IP trên mạng của bạn là một yếu tố quan trọng cần được lưu lại trước khi cài đặtTMG Trước khi bạn bắt đầu triển khai kích thước TMG, bạn cần phải hiểu mạng
và các mẫu lưu lượng truy cập mà TMG sẽ được yêu cầu hỗ trợ Điều này liên quanđến một vài bước, mỗi trong số đó có thể yêu cầu các chu kỳ lặp đi lặp lại kiểm tra
và phân tích
6 GIẢI QUYẾT CÁC MẠNG PHỨC TẠP
Trong nhiều trường hợp, tường lửa thực sự phục vụ lưu lượng truy cập và từcác mạng mà không phải là local firewall
Trang 36Trong sơ đồ này, TMG phục vụ các host trong ba mạng: Houston, hoạt độngtrong subnet 192.168.1.0/24; Buenos Aires, hoạt động trong subnet 192.168.2.0/24
và London, hoạt động trong subnet 192.168.3.0/24 Tất cả các văn phòng chi nhánhđang sử dụng TMG (nằm trong trụ sở chính) là Web proxy, vì ví dụ này, cơ quanduy nhất có kết nối Internet trực tiếp là chính văn phòng tại Houston
Giống như ISA Server, TMG xác định mạng lưới dựa trên các địa chỉ nằm phíasau cụ thể giao diện mạng Hình II.8.1, các địa chỉ trong ba ID mạng khác nhauđược đặt phía sau NIC duy nhất trong TMG trong văn phòng Houston Bạn sẽ sửdụng tất cả các địa chỉ này khi xác định mạng TMG nằm phía sau NIC
Mô hình liên kế nhiều mạng
7 DNS TRONG TMG
TMG dựa trên Windows để phân giải tên và do đó bất kỳ sai lầm nào do cấuhình ở độ phân giải tên Windows sẽ ảnh hưởng xấu đến TMG
7.1 Hệ thống giải quyết tên phân giải
Windows phân giải tên sử dụng DNS như là phương pháp ưa thích của phângiải tên, tuy nhiên, nếu tên không thể được giải quyết bằng DNS, hệ điều hành sẽ
cố gắng để thực hiện một NetBIOS phân giải tên Đối với độ phân giải tênNetBIOS, hai phương pháp có thể được sử dụng để giải quyết một tên: WindowsInternet Name Service (WINS) và broadcast Nếu mạng của bạn không có một máychủ WINS, Windows sẽ cố gắng để giải quyết các tên bằng cách gửi một broadcast
Trang 37cho NetBIOS (phần tên máy chủ của tên miền đầy đủ, hoặc FQDN) Ví dụ, khi bạnchạy các lệnh ping srv1.contoso.com, Windows sẽ cố gắng mặc định các bước:1) Kiểm tra xem tên máy chủ local giống như tên nó để giải quyết (Srv1).
2) Kiểm tra xem các tập tin local HOSTS có tên này không
3) Truy vấn DNS server đầu tiên trong ngăn xếp TCP/IP
Các điều hành sẽ gửi một truy vấn đến máy chủ đầu tiên của bộ chuyển đổidanh sách tìm kiếm đó là lý do tại sao nó quan trọng phải có bộ chuyển đổi nội bộ
ở phía trên của danh sách và chờ đợi 1 giây cho một phản ứng Nếu hệ thống điềuhành không nhận được một phản ứng từ máy chủ đầu tiên trong vòng một giây, nó
sẽ gửi truy vấn đến DNS đầu tiên máy chủ trên tất cả các bộ điều hợp và chờ đợihai giây cho một phản ứng Quá trình này lặp đi lặp lại trong chu kỳ của hai, bốn
và tám giây tương ứng
Nếu Windows nhận được một phản ứng tích cực từ các máy chủ DNS, nódừng lại truy vấn cho tên, cho biết thêm các phản ứng vào bộ nhớ cache DNS, vàtrả về đáp ứng cho người dùng Quan trọng là Bạn có thể theo dõi số lượng thấtbại phân giải tên bằng cách mở Performance Monitor, thêm các đối tượng dịch vụMicrosoft Firewall, và giám sát Failed DNS Resolutions Counter
4) Thực hiện phân giải tên NetBIOS nếu kết hợp không được tìm thấy.Windows sử dụng phân giải tên NetBIOS nếu mọi nỗ lực để giải quyết tênmáy chủ DNS sai Windows tương thích với RFC 1001 và 1002, trong đó xác địnhdịch vụ NetBIOS cho TCP và UDP Một trong những cách thức mà hệ điều hànhtương thích bằng cách thiết lập các loại nút Mặc định, Windows sử dụng loạibroadcast node (BNode), tuy nhiên, thiết lập này có thể được thay đổi trongregistry Các giá trị có thể là:
Peer Node Type (PNode) Gửi một truy vấn trực tiếp đến một máy chủ tên
NetBIOS (Ví dụ, WINS)
Mixed Node Type (MNode) Gửi một gói tin broadcast đầu tiên và nếu không
giải quyết được tên, nó sẽ gửi một truy vấn trực tiếp đến máy chủ tên NetBIOS(WINS) Đây cũng được gọi là B+P (BNode+PNode)
Hybrid Node Type (HNode) Gửi một truy vấn trực tiếp với tên NetBIOS máy
chủ và nếu nó không giải quyết được, sẽ gửi một gói tin broadcast Điều này còn đượcgọi là P+B
5) Nếu Hybrid Node Type được sử dụng, quá trình phân giải tên vẫn được tiếp tục theo cách sau đây:
a) Windows kiểm tra bộ nhớ cache Local Name NetBIOS Lên đến 16 tên (mặcđịnh) được tổ chức trong bộ nhớ cache này trong 10 phút
Trang 38b) Nếu Windows không thể giải quyết tên từ bộ nhớ cache local name NetBIOS,
nó sẽ gửi một tên NetBIOS truy vấn máy chủ WINS chính cấu hình trong AdvancedTùy chọn TCP/IP của giao diện mạng trên đỉnh của danh sách giao diện Nếu máy chủWINS không đáp ứng, Windows sẽ cố gắng liên lạc với tất cả các cấu hình Các máychủ WINS (thứ tự từ trên xuống)
c) Nếu các bước trên không thành công, Windows sẽ kiểm tra fileLMHOSTS nếu LMHOSTS tra cứu được kích hoạt vào tab WINS trong các hộpthoại thuộc tính TCP/IP nâng cao Hộp thoại này được tìm thấy trong các thuộctính TCP/IP của một giao diện mạng trên các tường lửa
d) Windows sẽ gửi một NetBIOS broadcast đến local segment(255.255.255.255) bởi vì, theo mặc định, các bộ định tuyến không cho phép cácchương trình broadcast NetBIOS vượt qua
Không bao giờ cấu hình TMG với một địa chỉ máy chủ DNS nhiềuhơn một giao diện mạng vật lý Nếu bạn có hai card giao diện mạng (Nội bộ
và bên ngoài), địa chỉ IP máy chủ DNS phải được cấu hình trên giao diện chỉ
có một và giao diện phải được trên đầu trang của danh sách các giao diệnmạng
7.2 Ảnh hưởng của DNS
Vấn đề phân giải tên trong TMG là giảm hiệu suất Duyệt web chậm hơn,cũng như chứng thực người dùng Hai vấn đề chính với phân giải tên trong TMGlà:
Name Resolution Delay - Khi TMG sẽ gửi một truy vấn DNS không trả
lời một cách kịp thời, TMG’s worker bị chặn trong khi chờ phản ứng DNS, làmcho số lượng các gói dữ liệu backlogged tăng
Authentication Delay - Cấu hình DNS sai cũng có thể gây ra cho TMG
trì hoãn hoặc không xác thực khi các quy tắc tường lửa yêu cầu chứng thực
7.3 DNS Cache trong TMG
TMG giữ bộ nhớ cache DNS của riêng nó trong wspsrv.exe (đó là Dịch vụFirewall) Thành phần này được xây dựng trên đầu trang của Windows DNSResolver và được sử dụng để giảm số lượng truy vấn DNS, TMG đã thực hiện đểgiải quyết một tên Hình II.9.3.1 cho thấy Các thành phần bộ nhớ DNS Cachetrong TMG