1. Trang chủ
  2. » Luận Văn - Báo Cáo

Thiết lập Access Rule để bảo mật trên TMG Firewall 2010

35 1,3K 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 35
Dung lượng 2,5 MB

Nội dung

Đồ án Access RuleVề tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys (http:www.linksys.com) và NetGear (http:www.netgear.com). Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.

BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRƯỜNG CĐ CNTT HỮU NGHỊ VIÊT – HÀN KHOA KHOA HỌC MÁY TÍNH  ĐỒ ÁN MÔN INTERNET VÀ DỊCH VỤ THIẾT LẬP CÁC ACCESS RULE ĐỂ BẢO MẬT TRÊN TMG FIREWALL 2010 SINH VIÊN THỰC HIỆN : Đặng Quang Trung Phạm Quốc Vũ Đinh Đức Tin GIÁO VIÊN HƯỚNG DẪN : Lê Tự Thanh Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A KHOÁ HỌC: 2006 – 2009 NHẬN XÉT CỦA GIÁO VIÊN Đà Nẵng, ngày …… tháng …… năm 2011 GIÁO VIÊN GVHD: Lê Tự Thanh Trang 2 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A LỜI NÓI ĐẦU Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Sự phát triển của internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. chính vì thế mà khái niệm “Firewall” đã ra đời để giải quyết vấn đề này. Firewall có thể bảo mật cho 1 máy tính riêng lẻ cũng như 1 hệ thống máy tính trong 1 công ty lớn. Trong một hệ thống Firewall lớn, nhằm mục đích đảm bảo hiệu xuất làm việc mà chúng ta phải phân quyền cho các máy tính. Đề tài “ Thiết lập Access Rule để bảo mật trên TMG Firewall 2010” sẽ đưa ra các biện pháp để phân quyền tốt nhất trên 1 hệ thống Firewall lớn qua sản phẩm Firewall của Microsoft là TMG 2010. Xin chân thành cảm ơn thầy LÊ TỰ THANH đã hướng dẫn Nhóm hoàn thành đồ án của mình. GVHD: Lê Tự Thanh Trang 3 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Mục Lục LỜI NÓI ĐẦU 3 CHƯƠNG I: TƯỜNG LỬA 5 1.1 Khái niệm tường lửa 5 1.1.1 Firewall cứng 5 1.1.2 Firewall mềm 6 Chương II:Lịch sử phát triển của TMG Firewall 2010 7 2.1 Lịch sử và phát triển 7 Chương III: ACCESS RULE 9 Chương IV:Kết Luận 34 GVHD: Lê Tự Thanh Trang 4 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A CHƯƠNG I: TƯỜNG LỬA 1.1 Khái niệm tường lửa Tường lửa (Firewall) hiểu một cách chung nhất, là cơ cấu để bảo vệ một mạng máy tính chống lại sự truy nhập bất hợp pháp từ các (mạng) máy tính khác. Firewall bao gồm các cơ cấu nhằm: − Ngăn chặn truy nhập bất hợp pháp. − Cho phép truy nhập sau khi đó kiểm tra tính xác thực của thực thể yêu cầu truy nhập. Trên thực tế, Firewall được thể hiện rất khác nhau: bằng phần mềm hoặc phần cứng chuyên dùng, sử dụng một máy tính hoặc một mạng các máy tính … Tường lửa có thể được xác định như là một tập hợp các cấu kiện đặt giữa hai mạng. Nhìn chung bức tường lửa có những thuộc tính sau : - Thông tin giao lưu được theo hai chiều. - Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua. Nhìn chung, Firewall có thể bảo vệ hệ thống máy tính chống lại những kẻ đột nhập qua khả năng ngăn chặn những phiên làm việc từ xa (remote login). Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi cho phép người sử dụng hợp pháp được truy nhập tự do mạng bên ngoài. Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập. Nó là “cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọi cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, … Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra. 1.1.1 Firewall cứng Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm. Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng. Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys (http://www.linksys.com) và NetGear (http://www.netgear.com). Tính năng Firewall GVHD: Lê Tự Thanh Trang 5 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình. 1.1.2 Firewall mềm Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1, ISA Firewall 2010(phiên bản cũ là ISA firewall 2006), …) và bạn có thể tải về từ mạng Internet. So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào. Trong đề tài sẽ sử dụng Firewall mềm là TMG Firewall. GVHD: Lê Tự Thanh Trang 6 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Chương II:Lịch sử phát triển của TMG Firewall 2010 2.1 Lịch sử và phát triển Microsoft Forefront Threat Management Gateway (TMG) 2010 là phiên bản "Firewall" mới của Microsoft được phát hành để thay thế cho phiên bản cũ là ISA Server 2006. Phát hành ngày 17 tháng 11 năm 2009, sau đó ngày 23 tháng 6 năm 2010 là Service Pack 1. Các phiên bản đã phát hành: - Microsoft Forefront TMG 2010 Standard Edition. - Microsoft Forefront TMG 2010 Enterprise Edition. 2.2 Các chức năng chính. 1. Firewall : Kiểm soát các gói tin truy cập từ nội bộ ra Internet & ngược lại. - Secure Web Gateway : Bảo vệ người dùng khỏi các mối đe dọa khi truy cập Web. - Secure E-mail Relay : Bảo vệ người dùng khỏi các mối đe dọa của E-mail độc hại. - Remote Access Gateway : Hỗ trợ người dùng truy cập từ xa các dịch vụ & tài nguyên trong nội bộ. - ISP Link Redundancy : Hỗ trợ tải & dự phòng cho nhiều đường truyền Internet - Enhanced Voice Over IP : Cho phép kết nối & sử dụng VoIP thông qua TMG. - Intrustion Prevention : Phòng chống các cuộc tấn công & xâm nhập từ bên ngoài. - Web Anti-Malware : quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập web. - HTTPS Inspection : kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate. - E-mail protection subscription service: tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail trong hệ thống Mail Exchange. - Network Inspection System (NIS) : ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật. - Network Access Protection (NAP) Integration : tích hợp với NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN. - Security Socket Tunneling Protocol (SSTP) Integration : Hỗ trợ VPN-SSTP. - Windows Server 2008 with 64-bit support : Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit. - URL Filtering : cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có như: web đen, chat,…. Với những tính năng bảo mật hệ thống được nâng cao hơn nhiều so với ISA Server 2006, bạn có thể yên tâm vì nhân viên trong công ty có thể truy cập internet GVHD: Lê Tự Thanh Trang 7 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại các mối đe dọa khác. Trong đề tài ứng dụng chức năng URL Filtering của TMG Firewall. 2.3 So sánh với phiên bản trước. Chức Năng ISA Firewall 2006 TMG Firewall 2010 Kiểm soát các gói tin truy cập từ nội bộ ra Internet & ngược lại. X X Bảo vệ người dùng khỏi các mối đe dọa khi truy cập Web. X X Bảo vệ người dùng khỏi các mối đe dọa của E-mail độc hại. X X Hỗ trợ người dùng truy cập từ xa các dịch vụ & tài nguyên trong nội bộ. X X Hỗ trợ tải & dự phòng cho nhiều đường truyền Internet X X Phòng chống các cuộc tấn công & xâm nhập từ bên ngoài X Cho phép kết nối & sử dụng VoIP thông qua TMG. X Kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate. X Tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail trong hệ thống Mail Exchange. X Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit. X Tích hợp với NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN. X Hỗ trợ VPN-SSTP X Cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có như: web đen, chat,…. X GVHD: Lê Tự Thanh Trang 8 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Chương III: ACCESS RULE Access Rule (luật truy cập) được sử dụng để điều khiển truy cập gửi ra từ một mạng được bảo vệ bởi Firewall. Khi bạn muốn cho phép một máy tính nằm phía sau sự kiểm soát của Firewall truy cập một mạng khác (gồm có Internet), bạn cần tạo một Access Rule để cho phép kết nối đó. Mặc định, không có Access Rule nào cho phép các kết nối qua Firewall , vì vậy trạng thái mặc định Firewall là một bức tường vững chắc bảo vệ cho mạng. Trạng thái đóng cửa mặc định này là một cấu hình an toàn, tuy nhiên nó cũng có nghĩa là nếu muốn cho phép lưu lượng qua Firewall,chúng ta cần phải thiết lập Access Rules để giới hạn các quyền truy cập cho những người dùng khác nhau. GVHD: Lê Tự Thanh Trang 9 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A CHƯƠNG VI :Cài đặt TMG Firewall 2010 4.1 Mô hình triển khai TMG 2010 để bảo mật hệ thống mạng Bảng 3.1 Mô hình triển khai TMG 2010 Chuẩn bị : Trong mô hình lab sử dụng 2 máy Windows Server 2008 R2  Server01 làm chức năng TMG Server (quangtrung.c3nhom9.edu.vn)  Server02 làm chức năng DC, DNS Server & Client (quocvu.c3nhom9.edu.vn)  Máy Client : Win7 ( ductin.c3nhom9.edu.vn ) GVHD: Lê Tự Thanh Trang 10 [...]... kiểm tra phân giải thất bại Phần triển khai TMG 2010 xem video demo GVHD: Lê Tự Thanh Trang 33 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Chương IV:Kết Luận Thông qua việc tìm hiểuvề Access Rule trong TMG Firewall 2010, chúng em đã có một số kiến thức về vấn đề điều khiển truy cập internet của Access Rule trong TMG Firewall 2010 Với Access Rule TMG Firewall 2010 thật sự đem lại hiệu quả cao với sự... chọn finish để hoàn tất qúa trình cài đặt TMG 4.3 Triển khai rule access 4.3.1 Các Bước Triển Khai o Kiểm tra Default Rule o Tạo các Rule 1 Tạo Rule cho phép các máy trong mạng Lan kết nối được với nhau GVHD: Lê Tự Thanh Trang 31 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A 2 Tạo Rule cho phép các máy trong mạng Lan kết nối Internet 3 Tạo Rule truy vần DNS để phân giải tên miền 4 Tạo Rule cho phép... Server1 vào domain c3nhom9.edu.vn Join máy client vào domain c3nhom9.edu.vn 4.2 Cài đặt TMG Firewall 2010 Chạy phần Phần mềm TMG Firewall 2010 để Giải phóng các File GVHD: Lê Tự Thanh Trang 12 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Sau khi các fille được giải phóng,sẽ thấy trang Welcome to Microsoft Forefront TMG Click next Tiếp theo chọn đường dẩn cài đặt Xong click vào next GVHD: Lê Tự Thanh... hình trên máy ảo Ngoài ra chúng em còn xử lý một số yêu cầu quản lí cần thiết thực tế trong công ty.Tuy nhiên, mô hình dự án vẫn còn một số khiếm khuyết vì hạn chế của thời gian và kinh nghiệm GVHD: Lê Tự Thanh Trang 34 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Một sốTài Liệu Tham Khảo Trong quá trình thực hiện đề tài chúng em đã sử dụng đến một số tài liệu điện tử lien quan đến TMG Firewall 2010. .. Vào đường dẫn cài đặt TMG mở Forefront TMG Management Trong hộp thoại Getting Started Wizard, chọn Configure network settings GVHD: Lê Tự Thanh Trang 23 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Trong hộp thoại Welcome, chọn Next Trong hộp thoại Network Template Selection, chọn Edge firewall, chọn Next GVHD: Lê Tự Thanh Trang 24 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Để chỉ định card mạng... Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Một sốTài Liệu Tham Khảo Trong quá trình thực hiện đề tài chúng em đã sử dụng đến một số tài liệu điện tử lien quan đến TMG Firewall 2010 sau: TMG Firewall 2010 Một số bài lab trên mạng Tham khảo một số ý kiến thông qua internet Sử dụng các ý kiến hướng dẫn của thầy Lê tự Thanh GVHD: Lê Tự Thanh Trang 35 ... Dịch Vụ Lớp CCMM03A Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Preparation Tool Trong hộp thoại Welcome, chọn Next GVHD: Lê Tự Thanh Trang 14 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Trong hộp thoại License Agreement, đánh dấu chọn I accept the terms of the License Agreements, chọn Nex Trong hộp thoại Installation Type, chọn Forefront TMG services and Management, chọn Next GVHD: Lê Tự... kết nối Internet 3 Tạo Rule truy vần DNS để phân giải tên miền 4 Tạo Rule cho phép các User thuộc nhóm Manager truy cập internet không hạn chế 5 Tạo Rule cho phép các User thuộc nhóm Admin chỉ được phép truy cập 1 số trang Web trong giờ hành chính 6 Tạo Rule cho phép các User có thể kết nối Mail ngoài bằng Windows Live Mail với giao thức POP3/SMTP 7 Không cho các User nghe nhạc trực tuyến 8 Không cho... Yahoo Messenger 9 Không cho các User Downloads 10 Cấm truy cập 1 số trang Web, nếu truy cập sẽ tự động chuyển đến trang Web cảnh báo của công ty 4.3.2 Triển Khai o Kiểm tra Default Rule Từ máy client Gõ lệnh ping đến máy TMG đã đặt ip là 192.168.1.100 − Gõ lệnh Ping 192.168.1.100 − Kiểm tra trình duyệt web − Truy cập: http://viethanit.edu.vn GVHD: Lê Tự Thanh Trang 32 Báo Cáo Đề tài Internet và Dịch... chọn Forefront TMG services and Management, chọn Next GVHD: Lê Tự Thanh Trang 15 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Sau khi cài đặt thành công, chọn Finish Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Installation Wizard GVHD: Lê Tự Thanh Trang 16 Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A Trong hộp thoại Welcome, chọn Next Trong hộp thoại License Agreement, chọn I accept the terms . làm chức năng TMG Server (quangtrung .c3nhom9. edu.vn)  Server02 làm chức năng DC, DNS Server & Client (quocvu .c3nhom9. edu.vn)  Máy Client : Win7 ( ductin .c3nhom9. edu.vn ) GVHD: Lê Tự Thanh. Server02 làm Domain Controller & DNS Server của domain c3nhom9. edu.vn Join máy Server1 vào domain c3nhom9. edu.vn Join máy client vào domain c3nhom9. edu.vn 4.2 Cài đặt TMG Firewall 2010 Chạy phần

Ngày đăng: 18/10/2014, 16:04

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w