LỜI CÁM ƠN
Chúng em xin bày tỏ lòng biết ơn đến tất cả quý thầy cô Trường Đại Học Hùng Vương Thành Phố Hồ Chí Minh nói chung và Khoa Công Nghệ Thông Tin nói riêng, đã truyền đạt cho chúng em những kiến thức quý báu trong suốt bốn năm đại học.
Chúng em xin chân thành cảm ơn thầy Nguyễn Trung Thành ,các thầy cô giáotrong khoa công nghệ thông tin đã giúp đỡ chúng em rất nhiều trong thời gian thựchiện luận văn Và đặc biệt chúng em xin chân thành cám ơn thầy Nguyễn MinhHoàng, thầy đã định hướng, hướng dẫn và giúp đỡ chúng em rất nhiều, nhờ vậy màchúng em đã hoàn thành được luận văn theo hướng đúng đắn nhất.
Trong thời gian làm báo cáo, do còn thiếu nhiều kinh nghiệm và gặp nhiều khókhăn nên không tránh khỏi những sai sót , em mong các thầy cô chỉ bảo thêm giúp emhoàn thành và đạt kết quả tốt hơn.
Một lần nữa chúng em xin chân thành cám ơn.
TP.HCM, ngày 13 tháng 2 năm 2012
Sinh viên thực hiện
Trần Thiên VũNguyễn Anh Hào
Trang 2NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Trang 3
Giáo viên phản biện
LỜI NÓI ĐẦU
Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó đã kết nối mọingười tới gần nhau hơn Ngồi trước máy tính, mọi người có thể biết được thông tintrên toàn cầu Bên cạnh đó, Internet giúp doanh nghiệp có thể triển khai những dịch vụ
Trang 4trực tuyến phục vụ người dùng trên toàn thế giới làm tăng lợi nhuận một cách nhanhchóng nhưng chính vì khả năng kết nối rộng rãi như vậy mà hệ thống máy tính củadoanh nghiệp cũng như người dùng có thể bị xâm nhập vào bất kỳ lúc nào mà khônghề được biết trước Bên cạch đó, số người sử dụng mạng Internet càng ngày càng tănglên một cách nhanh chóng, việc đáp ứng nhiều kết nối đến những Server dịch vụ ngàycàng trở nên cần thiết hơn bao giờ hết, đòi hỏi một phần mềm vừa có thể cân bằng tảicho hệ thống mạng và vừa đáp ứng chức năng bảo mật cho hệ thống mạng Nhằm giảiquyết vấn đề cấp thiết ấy Microsoft đã cho ra đời phiên bản Firewall Forefront ThreatManagement Gateway (TMG) 2010 một phiên bản Firewall hoàn toàn mới, đó là sựkết hợp giữa những tính năng hữu ích của các phiên bản ISA trước đó và những tínhnăng nổi trội hoàn toàn mới, giúp khả năng bảo mật hệ thống được nâng cao hơn vàviệc tích hợp hệ thống cân bằng tải Network Load Balancing dễ dàng và hiệu quả hơn.
Để tìm hiểu kỹ hơn về chức năng Network Load Balancing trong TMG 2010cũng như những phương thức mà TMG sử dụng để bảo mật hệ thống mạng nội bộ nên
chúng em đi đến thực hiện đề tài “Triển khai hệ thống Load Balancing với phầnmềm TMG 2010”.
Trong luận văn tốt nghiệp này nhóm chúng em sử dụng TMG 2010 để triểnkhai thực hiện các công việc sau:
CHƯƠNG I: TỔNG QUAN VỀ ĐỀ TÀI
CHƯƠNG II: TỔNG QUAN VỀ TMG 2010 VÀ CHỨC NĂNG NLB
TRONG HỆ THỐNG TMG SERVER
CHƯƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT HỆ THỐNG NLB TRONG TMGCHƯƠNG IV: KẾT LUẬN
MỤC LỤCDANH MỤC HÌNH
DANH MỤC CÁC TỪ VIẾT TẮT
CHƯƠNG I:TỔNG QUAN ĐỀ TÀI 1
Trang 51 MỤC TIÊU ĐỀ TÀI: 1
2 PHẠM VI ĐỀ TÀI: 1
3 HƯỚNG TRIỂN KHAI CỦA ĐỀ TÀI: 1
4 NHỮNG CÔNG VIỆC ĐÃ LÀM ĐƯỢC QUA 2 GIAI ĐOẠN 2
4.1 Giai đoạn hướng nghiệp 2
4.2 Giai đoạn tốt nghiệp 3
CHƯƠNG II:TỔNG QUAN VỀ TMG 2010 VÀCHỨC NĂNG NBL TRONG HỆ THỐNG TMG SERVER 4
1 KHÁI NIỆM FIREWALL: 4
4.4 Sự khác biệt của TMG 2010 và ISA 2006 8
4.5 Vì sao nên thay thế hệ thống tường lửa ISA 2006 bằng hệ thống TMG 2010 8
5 NHỮNG CHỨC NĂNG CHÍNH CỦA TMG 2010 9
5.1 Firewall: 10
5.1.1 Enhance NAT (NAT nâng cao) 10
5.1.2 Voice Over IP 10
Trang 65.4.2 Intrusion prevention system 13
5.4.3 Network Inspection System 14
7 GIỚI THIỆU VỀ NETWORK LOAD BALANCING: 18
7.1 Giới thiệu chung: 18
7.2 Nguyên tắc hoạt động 19
7.3 Những chế độ trong kỹ thuật Network Load Balancing (NBL) 20
7.3.1 Unicast 20
7.3.2 Multicast 20
8 NETWORK LOAD BALANCING TRONG TMG 2010 20
8.1 Giới thiệu chung 20
8.2 Lợi ích của việc tích hợp NBL vào máy chủ TMG 2010 21
8.3 Điểm nổi bật của chức năng NLB trong TMG 2010 so với ISA 2006 21
8.4 Virtual IP Addresses và Deticated IP Addresses 22
8.5 ISP Redundancy và Network Load Balancing 22
8.6 Phương pháp TMG xác định trạng thái của các kết nối ISP 23
8.7 Publish Server thông qua chức năng NLB 23
8.8 Giám sát hoạt động của chức năng Network Load Balancing: 24
CHƯƠNG III :TRIỂN KHAI VÀ CÀI ĐẶT HỆ THỐNG NBL TRÊN TMG2010 25
Trang 72 CÀI ĐẶT VÀ CẤU HÌNH: 27
2.1 Thứ tự nhứng bước cài đặt và cấu hình: 27
2.2 Các bước cài đặt chi tiết 28
2.2.1 Cài đặt các máy TMG Server: 28
2.3 Enable Network Load Balancing Internal và cấu hình Virual IP 31
2.4 Cấu hinh Autodiscovery và triển khai Firewall Client 33
2.4.1 Bật chức năng Auto Discovery 33
2.4.2 Cài đặt Forefront TMG Client: 37
2.5 Thực hiện Load Balancing qua chức năng ISP Redundancy 38
2.6 Publish Server qua chức năng NLB 46
2.7 Thiết lập những tính năng khác 49
2.7.1 URL Filtering 49
2.7.2 Chức năng Malware Inspection 50
2.7.3 Tạo các Access Rules quản lý truy cập Internet 51
2.7.4 Cấu hình chức năng HTTP Filter 54
2.7.5 Cấu hình chức năng HTTPs 57
2.8 Backup và theo dõi hoạt động của hệ thống 60
CHƯƠNG IV:KẾT LUẬN 63
1 TỔNG KẾT 63
2 HƯỚNG MỞ RỘNG CỦA LUẬN VĂN 63
9 THUẬN LỢI VÀ KHÓ KHĂN 63
TÀI LIỆU THAM KHẢO 65
DANH MỤC HÌNHHình 1.1: Mô hình mạng xây dựng trong giai đoạn 1 2
Hình 1.2: Mô hình Network Load Balancing TMG 2010 giai đoạn 2 3
Hình 2.1: Mô hình Firewall cứng 4
Hình 2.2: Mô hình Firewall mềm 5
Hình 2.3: Một Mô hình TMG 2010 7
Trang 8Hình 2.4: So sánh sự khác biệt giữa TMG 2010 và ISA 2006 8
Hình 2.5: Chức năng chính của TMG 2010 9
Hình 2.6: Chức năng chính của Secure Web Gateway 10
Hình 2.7: Quá trình tạo kết nối HTTPs tin cậy 12
Hình 2.8: Chức năng MI của TMG 2010 12
Hình 2.9: Quá trình cấp chữ ký số cho TMG 14
Hình 2.10: Bảo vệ mail Server bằng TMG 15
Hình 2.11: Quá trình Caching của TMG 16
Hình 2.12: Mô hình Network Load Balancing 19
Hình 2.13: Mô hình chức năng ISP Redundancy 22
Hình 2.14: Mô hình TMG sử dụng NLB và Publish Server 24
Hình 3.1: Mô hình cài đặt hệ thống 26
Hình 3.2:Cấu hình máy STORAGE 28
Hình 3.3:Tạo mảng trong EMS Server 29
Hình 3.4:Cấu hình các máy TMG trong mảng 30
Hình 3.5:Đưa các máy TMG con vào mảng 30
Hình 3.6:Enable Network Load Bancing 31
Hình 3.7:Cấu hình địa chỉ VIP 32
Hình 3.8:Kiểm tra việc nhận địa chỉ VIP của các máy TMG thành viên 32
Hình 3.9:Test việc Load Balancing khi user ra Internet 33
Hình 3.10:Mô hình triển khai Firewall Client 33
Hình 3.11:Bật chứ năng Auto discovery (1) 34
Hình 3.12:Cấu hình chức năng Autodiscovery (2) 34
Hình 3.13:Lưu cấu hình Auto Discovery 35
Hình 3.14:Tạo Alias trong DNS Server 35
Hình 3.15:Tạo New Record trong DNS Server 36
Hình 3.16:Xóa danh sách Global Query Block List 36
Hình 3.17:Cấu hình, cài đặt Firewall Client 37
Hình 3.18:Cấu hình ISP Redundancy trong thẻ Networking 38
Hình 3.19:Khai báo đỉa chỉ IP của ISP 1 39
Hình 3.20:Khai báo đỉa chỉ IP của ISP 2 39
Trang 9Hình 3.21:Điều chỉnh lưu lượng kết nối đến hệ thống 40
Hình 3.22:Kiểm tra việc cấu hình ISP Redundancy qua thẻ Dashboard 41
Hình 3.23:Cấu hình ISP Redundancy TMGHAO 100% 42
Hình 3.24:Cấu hình TMGHAO 100% 42
Hình 3.25:Lưu cấu hình cài đặt TMGHAO 43
Hình 3.26:Apply cấu hình TMGHAO 43
Hình 3.27:Kiểm tra tình trạng hoạt động của 2 TMG Server 44
Hình 3.28:Client truy cập Internet 44
Hình 3.29:Kiểm tra client truy cập 100% qua máy TMGHAO 45
Hình 3.30:Disconnnect máy TMGHAO 45
Hình 3.31:Client không thể ra Internet 46
Hình 3.32:Tạo Alias cho web Server 46
Hình 3.33:Kiểm tra kết nối từ các máy Local đến Web Server 47
Hình 3.34:Cấu hình Web Listener 47
Hình 3.35:Chọn phương thức chứng thực khi truy cập Web Server 48
Hình 3.36:Cấu hình Publish Rule 48
Hình 3.37:Chọn cách mà Web Server được Publissh trên mạng 49
Hình 3.38:Cấu hình chức năng URL Fitering 50
Hình 3.39:Cấu hình chức năng Malware Inspection 51
Hình 3.40:Tạo Schedules giờ làm việc cho các rule 53
Hình 3.41:Cấm đăng nhập Yahoo bằng chữ ky của ứng dụng 54
Hình 3.42:Cấu hình HTTP 55
Hình 3.43:Thiết lập các liểu file khoá trong chức năng HTTP( 1) 55
Hình 3.44:Thiết lập các liểu file khoá trong chức năng HTTP (2) 56
Hình 3.45:Cấm phương thức POST qua chức năng HTTP 56
Hình 3.46:Giới hạn file download qua chức năng HTTPs 57
Hình 3.47:Bật chức năng HTTPs Inspection 58
Hình 3.48:Intall Certificate trong chức năng HTTPs 58
Hình 3.49:Deploy Certificate cho domain 59
Hình 3.50:Kiểm tra Certificate 59
Hình 3.51:Đặt mật khẩu cho file Backup 60
Trang 10Hình 3.52:Thẻ Logs & Reports 61Hình 3.53:Tab Alert trong thẻ Monitoring 62Hình 3.54:Tab Service trong thẻ Monitoring 62
Trang 11- HTTP: HyperText Transfer Protocol
- HTTPs: Hypertext Transfer Protocol Secure - MI: Malware Inspection
- VPN: Virtual Private Network
- CARP: Cache Array Routing Protocol - IGMP: Internet Group Membership Protocol - ISP: Internet Service Provider
- DNS: Domain Name System - SSL: Secure Socket Layer
- PPTP: Point-to-Point Tunneling Protocol - L2TP/IPSEC: Layer 2 Tunneling Protocol - NIS: Network Information Service
- SMTP: Simple Mail Transfer Protocol
Trang 12CHƯƠNG I: TỔNG QUAN ĐỀ TÀI1 MỤC TIÊU ĐỀ TÀI:
- Tìm hiểu chức năng Network Load Balancing trong TMG 2010.- Triển khai cài đặt hệ thống mạng sử dụng Network Load Balancing.
- Cài đặt các chức năng khác của TMG kết hợp cùng chạy với chức năng NLB để
hoàn thiện hệ thống mạng.
2 PHẠM VI ĐỀ TÀI:
- Nghiên cứu, thiết lập hệ thống mạng sử dụng mảng 2 TMG Server được quản lý
bởi EMS Server để làm công việc bảo mật và cân bằng hệ thống mảng
- Cấu hình các chức năng:
+ Netword Load Balancing.+ ISP Redundancy.
+ Publish WebServer.+ HTTP Filter.
+ HTTP Filter+ HTTPs Inspection+ URL Filtering.+ Malware Inspection.+ Access Rules.
3 HƯỚNG TRIỂN KHAI CỦA ĐỀ TÀI:
Cài đặt, cấu hình chức năng Network Load Blancing trên phiên bản TMG 2010 Enterprise chạy trên nền Window Server 2008 R2. Khi quá trình triển khai hoàn thành phần mềm phải đạt những yêucầu sau:
+ Client truy cập ra Internet phải được Load Blancing.
Trang 13+ Khi một Server bị mất kết nối thì những kết nối ra Internet phải chuyển sang Server khác.
+ Cài đặt hệ thống sử dụng 2 đường ISP
+ Bảo đảm việc sử dụng Internet phải Load Balancing thông qua cả 2 ISP với lưu lượng được định sẵn Khi một đường ISP có sự cố thì đảm bảo mọi kết nối sẽ chuyển qua ISP còn lại.
+ Bảo đảm các chức năng khác đã cài đặt phải hoạt động ổn định với chức năng NLB.
+ Backup và theo dõi hoạt động hệ thống
+ Hạn chế những lỗi phát sinh trong quá trình hoạt động.
4 NHỮNG CÔNG VIỆC ĐÃ LÀM ĐƯỢC QUA 2 GIAI ĐOẠN4.1 Giai đoạn hướng nghiệp
- Trong giai đoạn 1 (hướng nghiệp) kéo dài 3 tháng nhóm đã hoàn thành đượcnhững phần sau:
+ Tìm hiểu tổng quan về Firewall.
+ Tìm hiểu sâu về TMG cũng như những chức năng của TMG 2010.
+ Xây dựng một hệ thống mạng đơn giản để làm quen và thử nghiệm nhữngchức năng của TMG 2010 bao gồm một máy domain, 1 máy TMG Server, vàmột máy ảo client XP Các chức năng được cấu hình demo trong giai đoạn nàylà: Access Rules, ỦL Filtering, HTTP Filter, HTTPs Inspection, MalwareInspection, Caching, Monitering, Intrustion Detection
Hình 1 1: Mô hình mạng xây dựng trong giai đoạn 1
Trang 144.2 Giai đoạn tốt nghiệp
- T rong giai đoạn 2 (tốt nghiệp) nhóm đã tìm hiểu xây dựng mộ hệ thống mạng doanh nghiệp áp dụng mô hình Network Load Balancing của TMG 2010 với mô hình:
Hình 1 2: Mô hình Network Load Balancing TMG 2010 giai đoạn 2
Mô hình này tích hợp 2 TMG Server được quản lý bởi 1 EMS Server và nhờsự san tải trên hệ thống nhiều TMG Server hệ thống của bạn sẽ hoạt động ổn định vàcân bằng hơn Những công việc đã hoàn thành ở giai đoạn 2:
- Thiết lập, cấu hình hệ thống Network Load Balancing với hệ thống 2 máy TMGServer để cân bằng tại hệ thống mạng nội bộ.
- Thực hiện việc Network Load Balancing qua 2 đường mạng ISP để phân chia lưu lượng
- Publish Web Server thông qua hệ thống NLB
- Cài đặt các chức năng hỗ trợ cùng với hệ thống NLB + Access Rule.
+ URL Filtering + HTTP Filter
Trang 15CHƯƠNG II:
TỔNG QUAN VỀ TMG 2010 VÀ
CHỨC NĂNG NBL TRONG HỆ THỐNG TMG SERVER
1 KHÁI NIỆM FIREWALL:1.1 Firewall là gì?
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cậptrái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập khôngmong muốn vào hệ thống
Thông thường Firewall được đặt giữa mạng bên trong (LAN/Intranet) của mộtcông ty, tổ chức và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truynhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong(LAN/Intranet) tới một số địa chỉ nhất định trên Internet
Hình 2 1: Mô hình Firewall cứng
Trang 16- Linh hoạt và dễ nâng cấp * Nhược điểm:
- Phụ thuộc nhiều vào hệ điều hành và software.- Có thể gây xung đột với hệ thống đang vận hành
2 CHỨC NĂNG CỦA FIREWALL
Chức năng chính của Firewall là kiểm soát và thiết lập cơ chế điều khiển dòngthông tin giữa mạng bên trong (Intranet) và mạng Internet Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).Theo dõi luồng dữ liệu mạng giữa Internet và Intranet Kiểm soát địa chỉ truy nhập,cấm địa chỉ truy nhập Kiểm soát người sử dụng và việc truy nhập của người sử dụng.Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng
* Nhiệm vụ của Firewall:
- Bảo vệ tài nguyên hệ thống.
- Nâng cao khả năng bảo mật hệ thống.
Trang 17- Chống lại sự tấn công của Hacker như: dò mật khẩu, tạo thông tin giả để lấycắp thông tin của hệ thống.
- Chống lại việc tấn công lợi dụng những lỗ hổng ứng dụng trên hệ điều hành.- Thiết lập kết nối tin cậy cho các user truy cập từ xa.
- Hạn chế lỗi chủ quan do con người với việc hạn chế những thao tác của cácclient khi truy cập Internet.
3 HẠN CHẾ CỦA FIREWALL
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thôngtin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn một phầnsự xâm nhập của những nguồn thông tin không mong muốn.
Một hạn chế khác của Firewall là các virus máy tính Firewall không thể làmnhiệm vụ rà quét tất cả các loại virus trên các dữ liệu được chuyển qua nó, nó do tốcđộ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóadữ liệu, thoát khỏi khả năng kiểm soát của Firewall
Firewall chỉ kiểm soát được những luồng thông tin giao tiếp giữa 2 môi trườngInternet và mạng nội bộ còn khi kẻ tấn công nằm ngay trong hệ thống mạng thìFirewall không thể quản lý Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được ápdụng rộng rãi
4 GIỚI THIỆU CHUNG VÈ THEAR MANAGERMENT GATEWAY 20104.1 Sự ra đời của TMG 2010
Tháng 11 năm 2009 Microsoft chính thức cho ra mắt Threat ManagermentGateway 2010, một phiên bản Firewall mềm hoàn toàn mới với những cải tiến vượttrội để thay thế cho phiên bản đàn anh trước đó là ISA Server 2006.
Microsoft Forefront Threat Management (TMG) 2010 là một tường lửa có lớpứng dụng thông minh và khả năng chống phần mềm độc hại có thể được sử dụng đểxác định và giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại ForefrontTMG kế thừa cho Microsoft ISA Server với các tính năng nâng cao hơn giúp hệ thốngmạng người dùng an toàn và bảo mật hơn
Trang 18Hình 2 3:Một Mô hình TMG 2010
1.1 Các phiên bản TMG 2010
Microsoft cho ra mắt 2 phiên bản TMG 2010 là:+ Forefont TMG 2010 Standard Edition
+ Forefont TMG 2010 Enterprise Edition
Mặc dù nhu cầu triển khai trên các cơ sở hạ tầng mạng khác nhau, cả hai phiênbản bao gồm các tính năng giống nhau và có cùng một bảo vệ và khả năng kiểm soáttruy cập Chúng khác nhau cơ bản ở:
Trang 191.2 Sự khác biệt của TMG 2010 và ISA 2006
Internet access protection (proxy) X XBasic OWA and SharePoint
Exchange publishing (RPC over
IPSec VPN (remote and site-to-site) X X
Windows Server 2008 R2, 64-bit
Enhanced UI, management,
Hình 2 4:So sánh sự khác biệt giữa TMG 2010 và ISA 2006
1.3 Vì sao nên thay thế hệ thống tường lửa ISA 2006 bằng hệ thống TMG 2010
Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát hànhISA Server 2006 cách đây gần sáu năm ISA là một lợi thế cho giải pháp tường lửa,proxy và máy chủ VPN, nhưng nó thiếu khả năng bảo vệ Web tiên tiến và cần thiết đểbảo vệ người dùng của chúng ta từ các cuộc tấn công trên mạng Internet ngày nay Vớiviệc phát hành Forefront Threat Management Gateway (TMG) 2010 đã mang lạinhững lợi thế mới:
+ Ứng dụng TMG là 64 bit
Trang 20+ TMG chạy trên hệ điều hành mạnh mẽ Windows Server 2008 SP2 và R2+ TMG 2010 cung cấp nhiều tính năng mới giúp việc bảo vệ mạng nội bộ, bảovệ Web, Email được nâng cao hơn rất nhiều và bên cạn đó là kết nối VPN một cáchthông minh và bảo mật.
5 NHỮNG CHỨC NĂNG CHÍNH CỦA TMG 2010
Hình 2 5:Chức năng chính của TMG 2010
5.1 Firewall:
5.1.1.Enhance NAT (NAT nâng cao)
NAT (Network Address Translate) là chức năng dịch địa chỉ IP khi các Clientgiao tiếp với một mạng khác TMG 2010 cung cấp một chức năng NAT cải tiến(Enhance NAT) cho phép chuyển tiếp địa chỉ IP nguồn theo dạng many-to-
Trang 21one hoặc one-to-one, như một số tường lửa (Cisco, Checkpoint, ) khi bạn NAT giaothông giữa 2 mạng
5.1.2.Voice Over IP
Tính năng này cho phép kết nối & sử dụng VoIP thông qua TMG Voice OverIP quản lý lưu lượng sử dụng những cuộc gọi thoại hoặc video giữa các mạng nội bộhoạng mạng nội bộ và mạng Internet.
5.1.3 Access Rule
Giống như ISA 2006, TMG cho phép người quản trị có thể tạo các rule để quảnlý, phân quyền việc truy cập và sử dụng internet của Client thông qua các protocolđược định sẵn.Với tính năng này việc quản lý nhân viên trở nên dễ dàng hơn, mặt kháccòn tránh được việc truy cập lén lút khi hết thời gian làm việc
5.2 Secure Web Gateway
TMG 2010 có những cải tiến vượt trội trong tính năng bảo vệ người dung khitruy cập Web so với ISA 2006, cung cấp một môi trường làm việc an toàn và hiệnđại.
Hình 2 6:Chức năng chính của Secure Web Gateway
5.2.1 URL Filtering
URL (Uniform Resource Locator) dùng để chỉ tài nguyên thống nhất trênInternet Có thể hiểu URL là những đường dẫn đến nơi chứa những loại tài nguyênkhác nhau trên internet URL thường gồm 5 phần chính: tên giao thức, dịch vụ WorldWide Web (www), tên miền, cổng và phần phụ VD: http://www.hungvuong08ct.com.Ở chức năng này TMG 2010 cung cấp một bộ lọc URL cho phep từ chối các
Trang 22truy cập đến những URL bị cấm (VD:khiêu dâm, cá độ….) dựa trên nguyên tác phânloại các URL từ cơ sở dữ liệu của MRS (Microsoft Reputation Service).
Khi client gửi yêu cầu truy cập website, TMG sẽ truy vấn đến MRS để xác địnhphân loại của trang web này Nếu trang web này nằm các loại URL mà rule cho phépđi thì có quyền truy cập Còn nếu không thì TMG sẽ gửi thông báo từ chối truy cậpngười dùng.
5.2.2 HTTP Filter
Chức năng này kiểm soát nội dung những luồng dữ liệu HTTP, mục đích baogồm các thao tác dung Signature để cấm các ứng dụng HTTP, cấm download file, cấmcác phương thức truy cập web
5.2.3 HTTPs Ispection
HTTPS từ lâu đã được gọi là “giao thức vượt qua tường lửa” HTTPS cung cấpmã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhấtgần như vô dụng Inspection HTTPS là một tính năng mới mạnh mẽ của ForefrontTMG Firewall Nó có thể phân tích được SSL mà trong nhiều năm đã được sử dụngnhư là một kẽ hở của kẻ tấn công và người sử dụng độc hại để tránh bị phát hiện.Inspection HTTPS mở rộng khả năng bảo vệ của TMG Firewall, cung cấp bảo vệ hoàntoàn khỏi các cuộc tấn công dựa trên web.
Trang 23Hình 2 7:Quá trình tạo kết nối HTTPs tin cậy5.2.4 Malware Inspection
Chức năng của Malware Inspection là phát hiện và ngăn chặn các loại mã độcđược cấy vào HTTP Stream , khi client truy cập vào các trang web đã được cài mã độcsẽ len lõi vào hệ thống mạng, điều này sẽ gây hại không nhỏ cho hệ thống và tác hạixấu nhất có thể xảy ra là hệ thống của bạn sẽ phải ngừng hoạt động Chính vì thế,Malware inspection (MI) thực sự là một tính năng hữu dụng để loại bỏ mối lo ngại
Trang 24TMG 2010 ra đời đã giải quyết vấn đề này, ngoài các protocol PPTP,L2TP/IPSEC TMG còn hỗ trợ protocol Secure Socket Tunneling Protocol (SSTP)giao thức đường hầm an toàn SSTP là một đường hầm VPN, SSTP thực hiện điều nàybằng cách sử dụng HTTPs làm lớp vận chuyển sao cho các kết nối VPN có thể đi quacác firewall, NAT và server web proxy thường được cấu hình.Bởi vì kết nối HTTPs(TCP 443) thường được sử dụng để truy cập các site Internet được bảo vệ như các website thương mại,do đó HTTPs thường được mở trong các firewall và có thể đi qua cácProxy web, router NAT.
5.4 Intrusion Prevention
5.4.1 Monitering
Chức năng Moriterning cho phép giám sát và theo dõi những traffic trong hệthống kiểm tra các hoạt động của các server thiết lập báo cáo, và cảnh báo khi pháthiện bất thường.
5.4.2 Intrusion prevention system
Chức năng Intrusion prevention system (Hệ thống phòng chống mối nguyhiểm): bằng việc thanh tra gói tin ở mức thấp TMG phát hiện và ngăn chặn các hành vixâm nhập đã được định nghĩa sẵn trong Microsoft ISA Server
5.4.3 Network Inspection System
Hình 1 3:Hình 1 4:
Hình 2 9:Qúa trình cấp chữ ký số cho TMG
Trang 25Network Inspection System (NIS) là một hệ thống phát hiện và ngăn chặn xâmnhập hoàn toàn mới, nó được giới thiệu lần đầu tiên trong Forefront ThreatManagement Gateway (TMG) 2010 NIS hoạt động dựa trên chữ ký số Các chữ kýnày được phát triển bởi Microsoft Malware Protection Center (MMPC)
Khi lỗ hổng trong hệ điều hành và ứng dụng của Microsoft được phát hiện thìMMPC sẽ cung cấp 1 tập chữ ký số cho NIS (miễn phí)
Trong lúc chờ đợi cập nhật bản vá lỗi của nhà cung cấp, NIS sẽ thực hiện việcthanh tra giao thức mạng (DNS,HTTP,POP3,SMTP…) bằng cách sử dụng tập chữ kýsố đã cài đặt Khi phát hiện tấn công nếu có sự trùng khớp ở tập chữ ký số thì NIS sẽđưa ra hành động dựa theo chính sách đã được thiết lập sẵn (khóa hoặc phát hiện vàđưa ra cảnh báo)
5.5 E – mail Protection
Microsoft Forefront TMG 2010 là tường lửa đầu tiên của Microsoft tích hợpcác chức năng proxy SMTP, Anti-virus, Anti-Spam Nhờ đó, TMG có thể quét và lọcnhững e-mail spam gửi vào hệ thống, lọc những e-mail có nội dung bị cấm và hỗ trợanti-virus tránh việc phán tán virus trong hệ thống Nhờ những cải tiến của TMG màcác máy chủ mail Server an toàn hơn và không bị lạm dụng trở thành 1 SMTP Relaycông cộng.
Hình 2 10:Bảo vệ mail Server bằng TMG
Trang 26TMG cung cấp 3 chức năng để bảo vệ hệ thống Mail Server là:+ E-mail Policy
5.6.2 Caching
Mỗi khi các client truy cập vào một trang web để lấy thông tin thì truy vấn sẽtới firewall, sau đó mới ra ngoài Khi nhu cầu truy cập đến một số trang web của clientquá nhiều mà băng thông lại bị hạn chế sẽ dẫn đến cảm giác khó chịu khi chờ đợi quátrình truy cập của các client điều này ảnh hưởng không nhỏ đến năng suất làm việc củanhân viên
Để giải quyết vấn đề này, trên TMG, Microsoft đã đưa ra một giải pháp giúp cảithiện hiệu suất truy cập, giảm những traffic cùng lúc, giảm tải cho firewall, đó là WebCaching.
Trang 27Hình 2 11:Quá trình Caching của TMG
6 CÁC LOẠI FIREWALL CLIENT
TMG 2010 cung cấp 3 cơ chế để các Clients trong nội bộ truy cập internet
thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client & Forefront TMG Client với các đặc điểm được so sánh trong bảng sau:
Secure NAT Kiểm soát được tất cả mọi Port ra vào hệ thống, không cần cài đặt phần mềm chỉ cần trỏ DefaultGateway
Không kiểm soát được User, trang web…
Proxy Kiểm soát được mọi User, trang web…, không cần cài đặt chỉ cần khai báo proxy server trong các trình duyệt web
Chỉ kiểm soát được các Port 443,80,21
Firewall Client Kiểm soát được tất cả mọi Port ra vào hệ thốngKiểm soát được mọi User, trang web…
Chỉ hỗ trợ các hệ điều hành Windows, phải cài đặt phần mềm
Bảng so sánh các loại Firewall client của TMG2010
6.1 Secure NAT:
Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình DefaultGateway là địa chỉ card mạng trong của TMG là được hoặc chúng ta có thể cấp phátthông qua DHCP server với option 006 dành cho Router Điểm thuận lợi của phươngpháp này là Client không cần cài đặt gì thêm, và có thể sử dụng các hệ điều hànhkhông thuộc Microsoft như Linux, Unix mà vẫn sử dụng được các giao thức và ứngdụng trên internet thông qua TMG Tuy nhiên có một bất lợi là các SecureNAT clientkhông gởi được những thông tin chứng thực gồm Username & Password cho Firewallđược, vì vậy nếu như quản trị viên triển khai dịch vụ kiểm sóat truy cập theo domainuser đòi hỏi phải có username&password thì các SecureNAT Client không ứng dụng
Trang 28được Ngòai ra chúng ta không thể ghi nhật ký quá trình truy cập đối với dạng clientnày
6.2 Web Proxy Client
Như chúng ta biết ngòai chức năng bảo mật thì TMG còn có chức năng Cachedùng để lưu trữ các trang Web thường được truy cập trên RAM hoặc trên đĩa cứngnhằm tiết kiệm băng thông Tuy nhiên, Web Proxy Client chỉ sử dụng được các giaothức HTTP / HTTPs, FTP (upload/download), điều này có nghĩa là User sẽ không lấymail với Outlook hay sử dụng các ứng dụng khác Để sử dụng Web Proxy, các máytính Client phải cấu hình trong trình duyệt Web bằng cách mở Internet Explore chọnTools - > Internet Options chọn tab Connections - > LAN Settings và nhập vào địa chỉcủa Proxy server
6.3 Firewall Client
Nếu muốn có một cơ chế kiểm soát chặt chẽ hơn, ví dụ User phải log-in domainmới truy cập được Internet thì giải pháp đưa ra là chúng ta sẽ cài đặt Firewall Clientcho các máy tính này Thông thường khi cài đặt TMG Server các bạn sẽ cài dịch vụFirewall Client, sau đó trên TMG server mở system policy cho phép truy cập tàinguyên chia sẽ và máy tính Client chỉ cần kết nối đến TMG Server theo địa chỉ IP nộibộ với tài khoản hợp lệ để tiến hành chạy tập tin cài đặt Firewall Client Phương phápnày cung cấp các tính năng nâng cao dưới đây cho máy khách Windows:
+ Cho phép thẩm định dựa trên nhóm người dùng hoặc một người dùng riênglẻ cho tất cả các ứng dụng Winsock bằng sử dụng các giao thức TCP và UDP.
+ Cho phép người dùng và thông tin ứng dụng được ghi lại trong file bản ghicủa tường lửa ISA.
+ Cung cấp hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợpcó yêu cầu đến kết nối thứ cấp.
+ Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính.
+ Cho phép bạn đưa ra các máy chủ yêu cầu giao thức phức hợp mà không cầnsự hỗ trợ của bộ lọc ứng dụng.
+ Cơ sở hạ tầng định tuyến mạng là trong suốt đối với tường lửa máy khách
Trang 297 GIỚI THIỆU VỀ NETWORK LOAD BALANCING:7.1 Giới thiệu chung:
Network load balancing hay còn gọi là kỹ thuật cân bằng tải mạng hỗ trợ mởrộng hiệu năng của các server ứng dụng (chẳng hạn như Web server) nhờ việc phânphối các yêu cầu của client cho các server trong nhóm Các server (hay còn gọi là host)đều nhận gói IP đến, nhưng mỗi gói tin chỉ được xử lý bởi một server nhất định Cáchost trong nhóm sẽ đồng thời đáp ứng các yêu cầu khác nhau của các client, cho dù
một client có thể đưa ra nhiều yêu cầu Ví dụ, khi thực hiện một lệnh ping từ client đến
trang web dantri.com thì mỗi lệnh ping có thể được xử lý bởi một Web Server khácnhau Với kỹ thuật cân bằng tải, quá trình xử lý và thời gian đáp ứng client sẽ nhanhhơn nhiều.
Trang 32Hình 2 12:Môhình
Network Load Balancing
7.2 Nguyên tắc hoạt động
Khi cấu hình NBL, có thể qui định mức lưu lượng mà mỗi host sẽ xử lý hoặc tảicó thể phân phối một cách đồng đều giữa các host Nhờ sử dụng việc phân phối tải
Trang 33này, mỗi server sẽ lựa chọn và xử lý một phần tải nhất định Tải do các client gửi đếnđược phân phối sao cho mỗi server nhận được số lượng các yêu cầu theo đúng phần tảiđã định của nó Sự cân bằng tải này có thể điều chỉnh động khi các host tham gia vàohoặc rời khỏi nhóm Đối với các ứng dụng như Web server, có rất nhiều client truy cậpvà thời gian mà các yêu cầu của client tồn tại tương đối ngắn, khả năng của kỹ thuậtNBL nhằm phân phối tải thông qua việc thống kê lượng truy cập sẽ giúp cân bằng mộtcách hiệu quả các tải và cung cấp khả năng đáp ứng nhanh khi nhóm server có thayđổi.
Các server trong nhóm cân bằng tải phát đi một bản tin đặc biệt thông báotrạng thái hoạt động của nó (gọi là heartbeat message) tới các host khác trong nhóm,đồng thời nghe bản tin này từ các host đó Nếu một server trong nhóm gặp trục trặc,các host khác sẽ điều chỉnh và tái phân phối lại tải để duy trì liên tục các dịch vụ chocác client Trong phần lớn các trường hợp, phần mềm client thường tự động kết nối lạivà người sử dụng chỉ cảm thấy trễ một vài giây khi nhận được đáp ứng trả lời.
7.3 Những chế độ trong kỹ thuật Network Load Balancing (NBL)
Trong kỹ thuật NBL có 2 chế độ hoạt động là Unicast và Multicast.
7.3.1 Unicast
Trong chế độ hoạt động mặc định là unicast, NLB sẽ gán địa chỉ Vitaul IP chocard mạng (địa chỉ MAC) để card mạng có thể hoạt động (card này gọi là card nhóm),và tất cả các host trong nhóm được gán cùng một địa chỉ VIP Các gói tin đến đượcnhận bởi tất cả các host trong nhóm và chuyển gói tới trình điều khiển cân bằng tải đểlọc Ở chế độ Unicast việc trao đổi thông tin giữa các host có thể bị gián đoạn do cácmáy đều có cùng địa chỉ IP Để khắc phục lỗi này, thì đối với các máy chủ thực hiệnNBL cần gắn thêm 1 card mạng để trao đổi thông tin giữa các host trong nhóm.
Nhưng việc trao đổi thông tin giữa các host trong nhóm và các host ngoài nhómkhông bao giờ bị ảnh hưởng bởi chế độ unicast của NLB Lưu lượng mạng đến mộtđịa chỉ IP dành riêng cho host (trong card nhóm) được nhận bởi tất cả các host trongnhóm do chúng sử dụng chung một địa chỉ IP Đối với các địa chỉ IP dành riêng NLBkhông bao giờ cân bằng tải lưu lượng, những kết nối sẽ lập tức được phân phối lưu
Trang 34lượng đến TCP/IP trên host đã định Các host khác trong nhóm coi lưu lượng này làlưu lượng đã được cân bằng tải và sẽ loại bỏ lưu lượng này.
NLB cung cấp chế độ thứ hai để phân phối lưu lượng mạng đến các host trongnhóm, chế độ multicast Chế độ này gán địa chỉ multicast 2 lớp cho card nhóm thay vìthay đổi địa chỉ máy trạm thành địa chỉ IP chung Do mỗi host trong nhóm có một địachỉ trạm làm việc duy nhất, chế độ này không cần một bộ card mạng thứ hai để traođổi thông tin giữa các host trong nhóm và nó cũng không có bất cứ ảnh hưởng nào đếnhiệu năng của toàn hệ thống do việc sử dụng các địa chỉ IP dành riêng.
8 NETWORK LOAD BALANCING TRONG TMG 20108.1 Giới thiệu chung
TMG 2010 cung cấp Network Load Balancing (NLB) một chức năng được thừahưởng từ ISA 2006 được sử dụng để cấu hình và quản việc cân bằng lưu lượng mạngthông qua hệ thống mảng các TMG Server được quản lý bởi TMG Forefront Enterprise Manager Server (EMS) Nguyên tắc hoạt động của chức năng này cũnggiống như kỹ thuật NLB ở các hệ thống khác, nhưng nổi bật làkhi bạn cấu hình NLB,NLB sẽ được tích hợp cùng với chức năng khác TMG Server bổ trợ nhau để quản lýviệc truy cập trong hệ thống mạng Đây cũng là điểm vượt trội của chức năng này sovới NLB của Window.
8.2 Lợi ích của việc tích hợp NBL vào máy chủ TMG 2010
Với việc tích hợp kỹ thuật NLB,TMG Server cho phép NLB hoạt động trongcác kịch bản triển khai phức tạp như mạng riêng ảo (VPN), CARP (Cache ArrayRouting Protocol), và Firewall Client.
* Lợi ích khi tích hợp NLB trong TMG 2010
- Tích hợp NLB cung cấp hiệu suất hoạt động cao và khả năng mở rộng của hệthống máy chủ bằng cách sử dụng một cụm Server với nhiều máy tính máy chủ làmviệc cùng nhau.
- Tích hợp NLB cung cấp tính sẵn sàng cao bằng cách chuyển hướng lưu lượng
Trang 35thử lại các kết nối không thành công, và các kết nối từ client sẽ chậm trễ của chỉ mộtvài giây sau đó vẫn tiếp tục kết nối qua các máy chủ khác.
- Tích hợp NLB giảm tải cho hệ thống bằng cách phân phối lưu lượng mạnggiữa các máy Server.
8.3 Điểm nổi bật của chức năng NLB trong TMG 2010 so với ISA 2006
Trong ISA 2006 không hỗ trợ sẵn chức năng lựa chọn chế độ NLB (Unicast hayMulticast), muốn sử dụng những chế độ này bạn phải tải về bản cập nhật cho phiênbản ISA 2006, thao tác cấu hình và lập trình nhiều bước phức tạp gây khó khăn chongười quản trị Trong khi đó chức năng NLB trong TMG 2010 hỗ trợ chức năng dễdàng lựa chọn chế độ NLB (Unicast hay Multicast, IGMP Multicast) tích hợp sẵntrong TMG 2010 đảm bảo hệ thống hoạt động ổn định khi tiến hành cấu hình các chếđộ này
8.4 Virtual IP Addresses và Deticated IP Addresses
Khi bạn cấu hình NLB cho một mạng, bạn phải chỉ định ít nhất một địa chỉ IP ảocho mạng VIP là địa chỉ IP ảo được gán cho một nhóm các máy chủ TMG thực hiệncông việc Load Balancing, khi cấu hình sử dụng VIP các client sẽ truy cập đến hệthống TMG Server thông qua địa chỉ VIP Sử dụng TMG Server Management, bạn cóthể cấu hình nhiều hơn một địa chỉ IP ảo cho mỗi mạng lưới cân bằng tải trong trườnghợp bạn muốn có nhiều IP ảo
Mỗi card mạng của máy Server sử dụng trong hệ thống NLB phải có một địachỉ IP chuyên dụng (Deticated IP Address) Nếu không có địa chỉ IP chuyên dụng thìviệc hoạt động và liên lạc giữa các Server trong hệ thống sẽ làm việc không đúng cách.Địa chỉ IP chuyên dụng và địa chỉ IP ảo phải thuộc cùng một subnet và có cùng mộtsubnet mask.
8.5 ISP Redundancy và Network Load Balancing
Một trong những tính năng khác của Microsoft Forefront TMG có hỗ trợ tínhnăng Network Load Balancing là ISP Redundancy ISP Redundancy hỗ trợ cân bằngtải lưu lượng mạng giữa hai nhà cung cấp dịch vụ Internet khác nhau (các nhà cung
cấp dịch vụ Internet) thông qua chế độ Failover and Load Balancing do tính năng này
cung cấp.
Trang 36Trong chế độ Failover and Load Balancing cả hai liên kết ISP sẽ được sử dụng.
TMG cung cấp một tùy chọn để cài đặt dung lượng cho mỗi liên kết, do đó bạn sẽkhông phải sử dụng đồng thời cả hai liên kết này Nếu một trong hai liên kết thất bạimọi kết nối sẽ chuyển sang liên kết đang trực tuyến.
Hình 2 13:Mô hình chức năng ISP Redundancy
8.6 Phương pháp TMG xác định trạng thái của các kết nối ISP
Để xác định một kết nối bị ngắt hay một kết nối hoạt động trở lại TMG 2010 hoạt động theo quy trình:
+ Những máy chủ TMG con thực hiện việc tham dò để xác nhận xem được kết nối qua một ISP cụ thể hay không.Nếu có vấn đề xảy ra, thì TMG sẽ thử lại kết nối này (tối đa là ba lần) sau mỗi 60 giây trước khi chuyển qua kết nối ISP khác, đồng thờicho biết kết nối này bị ngắt.
Giả sử, nếu ISP 1 bị ngắt lúc 12:58PM, thì TMG sẽ kiểm tra kết nối tới nhữngmáy chủ DNS gốc vào lúc 12:59PM tới 1:00PM Nếu cả hai lần cố gắng kết nối lạithất bại, thì kết nối này sẽ được đánh dấu là bị ngắt Trong khoảng thời gian giữa12:58PM tới 1:00PM, các kết nối vẫn được thực hiện qua ISP bị ngắt này.
Sau khi kết nối ISP 1 được đánh dấu bị ngắt, TMG Firewall sẽ kiểm tra ISP 1 bịngắt này sau mỗi 5 phút, và khi kết nối này phản hồi trở lại, thì ít nhất phải có hai yêucầu trong vòng 60 giây được thực hiện thành công thì kết nối chính này mới được coilà hoạt động trở lại Sau đó TMG sẽ tạo các kết nối mới sử dụng kết nối ISP 1.
Do đó nếu ISP 1 được đánh dấu là bị ngắt lúc 1:00PM, thì nó sẽ không đượckiểm tra lại cho tới 1:05PM Vào lúc 1:05PM TMG sẽ tiến hành kiểm tra Nếu thànhcông nó sẽ kiểm tra lại vào lúc 1:06PM và 1:07PM Nếu cả hai tiến trình kiểm tra đều
Trang 37thành công, thì kết nối này sẽ được đánh dấu là hoạt động trở lại và các kết nối sẽ đượcchuyển hướng trở lại kết nối đó.
8.7 Publish Server thông qua chức năng NLB
TMG 2010 hỗ trợ toàn diện đối với việc Publish Server thông qua chức năng NLB Ở tính năng này Server được Publish sẽ hoạt động được hiệu quả hơn, dẽ dàng giám sát hơn với nhiều tính năng hỗ trợ như:
+ Hỗ trợ tính năng bảo mật bằng SSL khi client truy cập đến Server bằng cách tạo những Listerner Web
+ Cho phép tạo các Certificate để chức thực user thông qua giao thức HTTPs.+ Cho phép tạo các rule quản lý việc truy cập đến các Server.
+ Giám sát và điều phối việc truy cập đến các Server vơi thông qua chức năng Network Load Blancing.
Hình 2 14:Mô hình TMG sử dụng NLB và Publish Server
8.8 Giám sát hoạt động của chức năng Network Load Balancing:
Để giám sát hoạt động của chức năng NLB, TMG 2010 cung cấp cho chúng ta các phương thức theo dõi sau:
+ Trong thẻ System ta có thể thấy được trạng thái của các Server TMG còn
được kết nối với EMS Server hay không, ở đây chúng ta cũng có thể thay đổi được thời gian các Server tiến hành đồng bộ với EMS Server.
+ Trong thẻ Monitoring việc giám sát dễ dàng hơn khi chúng ta có thể xem các
thông báo về quá trình hoạt động của chức năng, những dịch vụ được cài đặt, phương thức chứng thực Server.
Trang 38+ Thẻ Dashboard là thông số về các hoạt động của các đường mạng ISP: trạng
thái, thời gian vận hành, tốc độ, các dịch vụ khác…
+ Bên cạnh đó, chức năng Troubleshooting có thể phục hồi những sửa đổi làm
cho hệ thống hoạt động không tốt.
- 4 máy thật cài đặt Window Server 2008 R2 với cấu hình:
Processor2core (1CPU x dual core)64-bit processor
2core (2CPU x dual core or 1CPU x quad core)
64-bit processor
Operating System Windows Server® 2008 R2
Trang 39Network Load Blancing Tools
Máy TMGVU Microsoft® NET 3.5 Framework SP1Network Policy and Access Server
Active Directory Lightweight Directory Services (ADLDS)Application Server
Routing And Remote AccessWireless LAN Service
Network Load Blancing Tools