Ứng dụng giải pháp bảo mật microsoft forefront TMG 2010 trong thiết kế mạng cho công ty THHH huyndai merchant marine việt nam

Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triển mới của tương lại, rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợi

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH ẢNH iii

LỜI CAM ĐOAN v

Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010

1

1.1 Tổng quan về Firewall 1

1.1.1 Khái niệm Firewall 1

1.1.2 Chức năng chính 1

1.1.3 Nguyên lý hoạt động của Firewall 2

1.1.4 Ưu nhược điểm của Firewall 3

1.1.5 Những hạn chế của Firewall 3

1.2 Giới thiệu về Forefront TMG 2010 4

1.2.1 Lịch sử về Forefront TMG 2010 4

1.2.2 Quá trình phát triển của Forefront TMG 2010 5

1.3 Các tính năng của TMG 2010 5

1.4 Các mô hình Firewall trong TMG 8

1.4.1 Network template 8

1.4.2 Cấu hình các thiết lập mạng 9

1.4.3 Forefront TMG cung cấp đầy đủ các tính năng của một Firewall 11

1.5 Giao diện của TMG 2010 15

1.6 Các loại TMG Client 18

1.6.1 Web Proxy Client 18

1.6.3 Cấu hình Server-Side 19

1.6.4 SecureNET Clients 20

1.7 Lý do chọn TMG thay vì ISA 21

1.8 Yêu cầu hệ thống 25

Chương 2: KHẢO SÁT PHÂN TÍCH HỆ THỐNG MẠNG CÔNG TY 27 2.1 Công ty TNHH Huyndai Merchant Marine Việt Nam 27

2.1.1 Giới thiệu công ty 27

2.1.2 Sơ đồ bộ máy tổ chức công ty 27

2.2 Tình hình hệ thống mạng hiện tại của công ty 29

2.2.1 Sơ đồ tổ chức máy tính và các phòng ban 29

2.2.2 Hiện trạng cơ sở vật chất mạng công ty 30

2.2.3 Sơ đồ mạng 31

2.1.4 Nhận xét 31

2.1.5 Nhu cầu của công ty 32

2.3 Đề xuất giải pháp 34

2.4 Danh mục các server 37

Chương 3: TRIỂN KHAI VÀ CẤU HÌNH HỆ THỐNG 38 3.1 Cài đặt TMG 2010 38

3.1.1 Mô hình mô phỏng cài đặt 38

3.1.2 Cài đặt TMG 2010 trên máy TMG 39

3.1.3 Cấu hình mạng và hệ thống 40

3.2 Cấu hình 1 số tính năng cơ bản của TMG 2010 43

3.2.1 DNS Query 43

3.2.2 Web Access 45

3.2.3 Malware Inspection 46

3.2.4 HTTPS Inspection 48

3.2.5 Cấm vào Internet trong thời gian định sẵn 51

3.2.6 Intrusion Detection 52

3.2.7 Quản lý băng thông với Bandwidth Splitter 54

3.2.8 Các dịch vụ khác 55

3.3 Một số kết quả thực hiện 56KẾT LUẬN 59

TÀI LIỆU THAM KHẢO 61

DANH MỤC HÌNH ẢNH

Hình 1.1 Sự phát triển của Forefront TMG 2010 4

Hình 1.2 Sơ đồ phát triển của Forefront TMG 2010 5

Hình 1.3 Các chức năng chính của TMG 2010 6

Hình 1.4 Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010

7

Hình 1.5 Network setup wizard 8

Hình 1.6 Edge Firewall Template9

Hình 1.7 3-Leg Perimeter Template 9

Hình 1.8 Back Firewall Template10

Hình 1.9 Single Network Adapter Template 11

Hình 1.10 Giao diện hiển thị các rule đang sử dụng giao thức DNS 16

Hình 1.11 Giao diện cấu hình truy cập Web 16

Hình 1.12 Giao diện tạo một tuyến tĩnh 17

Hình 1.13 Launch Getting Started Wizard trong cây giao diện17

Hình 1.14 Giao diện tạo một nhóm Rule 18

Hình 2.1 Sơ đồ tổ chức bộ máy công ty 27

Hình 2.2 Tổ chức máy tính và các phòng ban của công ty 29

Hình 2.3 Sơ đồ mạng công ty hiện nay 31

Hình 2.4 Mô hình mạng mới cho công ty36

Hình 3.1 Mô phỏng mạng triển khai TMG 38

Hình 3.2 Giao diện cài đặt -> Tùy chọn vào Run Preparation Tool 39

Hình 3.3 Cài đặt Run Intallation Winzard 40

Hình 3.4 Giao diện quản trị Forefront TMG 43

Hình 3.5 Tạo mới Access rule 43

Hình 3.6 Đặt tên cho Access Rule44

Hình 3.7 Apply để lưu cấu hình 44

Hình 3.8 Nhấn nút Install Certificate và chấp nhận nơi lưu trữ50

Hình 3.9 IE thông báo chứng chỉ có vấn đề 51

Hình 3.10 Chọn hình thức cảnh báo 53

Hình 3.11 Cấu hình Superscan và tiến hành scan 54

Hình 3.12 Thông báo xâm nhập bên máy TMG 54

Hình 3.19 Truy cập web nội bộ 58

LỜI CẢM ƠN

Em xin chân thành cảm ơn các thầy cô khoa Truyền thông & Mạng Máy Tính

đã truyền đạt vốn kiến thức quý báu cho em trong suốt quá trình học tập để em có thêm nhiều kiến thức mới, tích lũy thêm vốn hiểu biết của mình, phục vụ cho công việc sau này Đặc biệt em xin gửi lời cảm ơn đến thầy Trần Duy Minh, thầy đã giúp đỡ em rất nhiều trong quá trình quá trình thực hiện đồ án và tạo điều kiện tốt nhất để em có thể thực hiện được đề tài này

Trong quá trình tìm hiểu, áp dụng vào thực tế, còn nhiều hạn chế và bỡ ngỡ cũng như kinh nghiệm thực tế, do đó không tránh khỏi những thiếu sót, em rất mong nhận được những ý kiến đóng góp của các thầy cô để em có thể hoàn thiện hơn.Cuối cùng, em xin kính chúc các thầy cô khoa Truyền thông & Mạng Máy Tính và đặc biệt là thầy Trần Duy Minh dồi dào sức khỏe để có thể hướng dẫn, truyền đạt những kinh nghiệm, kiến thức quý báu cho chúng em Xin chân thành cảm ơn!

Thái Nguyên, tháng 6 năm 2016

Sinh viên

Hạ Văn Hựu

LỜI CAM ĐOAN

Sau quá trình học tập tại trường Đại học công nghệ thông tin và truyền thông Thái Nguyên, có sự kết hợp, vận dụng giữa lý thuyết và thực tế, em đã tìm hiểu nghiên cứu và tập hợp các tài liệu để hoàn thành đồ án tốt nghiệp của mình

Em xin cam đoan đồ án tốt nghiệp này là do bản thân em tự tìm hiểu, nghiên cứu và hoàn thành dưới sự hướng dẫn của thầy giáo ThS Trần Duy Minh Em xin cam đoan đồ án này chưa từng được sử dụng để bảo vệ ở bất

cứ học vị nào

Thái Nguyên, tháng 6 năm 2016

Sinh viên

Hạ Văn Hựu

LỜI MỞ ĐẦU



Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều

xu hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành công nghiệp cũng như nông nghiệp Điều này phải kể đến sự đóng góp tích cực của các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Công nghệ thông tin – Tin học ứng dụng

Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền

đề phát triển mới của tương lại, rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng

Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật được triển khai với nhiều hình thức nhằm giữ tính toàn vẹn thông tin của doanh nghiệp được ra đời Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm khiên che chắn khá vững chắc cho mạng doanh nghiệp và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là

chủ đề mà em đã tìm hiểu và nghiên cứu về đề tài: “Ứng dụng giải pháp bảo mật Microsoft Forefront TMG 2010 trong thiết kế mạng cho công ty THHH Huyndai Merchant Marine Việt Nam”

Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY

(TMG) 2010

1.1 Tổng quan về Firewall

1.1.1 Khái niệm Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo

vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet

1.1.2 Chức năng chính

 Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Cụ thể là:

 Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

 Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng

 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

 Các thành phần

 Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

+ Bộ lọc packet (packet-filtering router)

+ Cổng ứng dụng (application-level gateway hay proxy server)

+ Cổng mạch (circuite level gateway)

+ Bộ lọc paket (Paket filtering router)

1.1.3 Nguyên lý hoạt động của Firewall

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được

từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con

 Địa chỉ IP nơi xuất phát ( IP Source address)

 Địa chỉ IP nơi nhận (IP Destination address)

 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

 Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

 Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

 Dạng thông báo ICMP ( ICMP message type)

 Giao diện packet đến ( incomming interface of packet)

 Giao diện packet đi ( outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào

hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

1.1.4 Ưu nhược điểm của Firewall

 Ưu điểm:

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router

Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng,

vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

 Nhược điểm.

Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển

Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.Cổng ứng dụng (application-level getway)

1.1.5 Những hạn chế của Firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn

sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định

rõ các thông số địa chỉ

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

(data-Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

1.2 Giới thiệu về Forefront TMG 2010

1.2.1 Lịch sử về Forefront TMG 2010

Khi nhắc đến tường lửa dành cho doanh nghiệp, hầu hết ai có chút kiến thức

về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft, Tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006 Phiên bản tiếp theo của hệ thống tường lửa này được gọi với một tên khác: Forefront Threat Management Gateway, đây là sản phẩm cung cấp tính năng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA), Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint

Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên có thêm nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá trình đảm nhiệm chức năng tường lửa của mình

Hình 1.1 Sự phát triển của Forefront TMG 2010

Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA

2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003

mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008 Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010

1.2.2 Quá trình phát triển của Forefront TMG 2010

Quá trình phát triển của MS Forefront TMG 2010 trải qua các giai đoạn phát triển sau:

 1/1997 - Microsoft Proxy Server v1.0 (Catapult)

 18/03/2001 - Microsoft Internet Security and Acceleration Server 2000

Hình 1.2 Sơ đồ phát triển của Forefront TMG 2010

1.3 Các tính năng của TMG 2010

 Các chức năng chính của TMG 2010.

 Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra ngoài Internet và ngược lại.

 Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi

truy cập web

 Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ

e-mail độc hại

 Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng

các dịch vụ và tài nguyên mạng trong nội bộ

 Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên ngoài.

 Các tính năng nổi bật của TMG 2010.

Hình 1.3 Các chức năng chính của TMG 2010.

 Enhanced Voice over IP: Cho phép kết nối và sử dụng VoIP thông qua TMG.

 ISP Link Redundancy: Hỗ trợ load Balancing và Failover cho nhiều

đường truyền Internet

 Web Anti-Malware: Quét virus, phần mềm độc hại và các mối đe dọa

khác khi truy cập web

 URL-Filtering: Cho phép hoặc cấm truy cập các trang web theo

danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat

 HTTPS Insdection: Kiểm soát các gói tin được mã hóa HTTPS để phòng

chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate

 E-Mail Protection Subscription service: Tích hợp với Forefront

Protection 2010 For Exchange Server và Exchange Edge Transport Server để kiểm soát viruses, malware, spam Email trong hệ thống Mail Exchange

 Network Inspection System (NIS): Ngăn chặn các cuộc tấn công dựa

vào lỗ hổng bảo mật

 Network Access Protection (NAP) Integation: Tích hợp với NAP để

kiểm tra tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN

 Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ

VPN-SSTP

 Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server

2008 & Windows Server 2008 R2 64-bit

Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ điều hành Window Server 2008 64 bit Đây là một hạn chế của TMG Vì khác với Windows Server 2003 Windows Server 2008 rất kén máy chủ Nếu như Server

2003 ta hoàn toàn có thể lấy một máy tính thường, cấu hình tương đối là có thể cài đặt được, hỗ trợ Driver khá nhiều, thì đối với Server 2008 rất khó để thực hiện việc tương tự

Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng gỡ rối Troubleshooting, Chức năng này giúp cho người dùng không chuyên cũng có thể quản trị dễ dàng TMG, Khi gặp bất cứ trục trặc nào chỉ cần am hiểu chút tiếng

Anh và Tiếng anh chuyên ngành là có thể tự gỡ rối, sửa chữa sự cố phát sinh mà không cần đến IT chuyên nghiệp can thiệp.

Hình 1.4 Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010

1.4 Các mô hình Firewall trong TMG

Forefront TMG sử dụng một khái niệm “multi networking” Để định nghĩa topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG Sau khi đã tất cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network rule Forefront TMG hỗ trợ hai kiểu network rule đó là:

 Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai

mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng

 NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất

giữa hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP của network adapter tương ứng

Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.

1.4.1 Network template

Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu Ở đây tất cả những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện quản lý TMG Management

Hình 1.5 Network setup wizard

1.4.2 Cấu hình các thiết lập mạng

Launch Getting Started Wizard cho phép bạn chọn Network Template cần

thiết để cấu hình Forefront TMG cung cấp cho bạn tới 4 Network Template:

 Edge Firewall

 3-Leg perimeter

 Back firewall

 Single network Adapter

a, Edge Firewall

Hình 1.6 Edge Firewall Template

Edge Firewall template là một Network Template cũ và kết nối mạng bên trong với Internet, được bảo vệ bởi Forefront TMG Một Edge Firewall template điển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server Đây

là tùy chọn mặc định và một trong những sử dụng trong đa số trường hợp Điều này sẽ tạo ra một mạng nội bộ mặc định và một mặc định ngoài mạng

b, 3-Leg Perimeter

Hình 1.7 3-Leg Perimeter Template

3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network adapter Một network adapter kết nối mạng bên trong, một network adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng được gọi là Perimeter Network Perimeter Network gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG Các dịch vụ điển hình trong một DMZ là Web Server, DNS Server hoặc WLAN network Một 3-Leg Perimeter Firewall cũng thường được gọi

là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực” Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau

c, Back Firewall

Hình 1.8 Back Firewall Template

Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng nội bộ Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZvà từ Front Firewall

d, Single Network Adapter

Hình 1.9 Single Network Adapter Template

Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa TMG Điều này chỉ được sử dụng khi các bức tường lửa là có được sử dụng như một máy chủ proxy web Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP, HTTPS và FTP Nó hỗ trợ truy cập từ xa VPN

Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có Nó chỉ có các tính năng dưới đây:

+ Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP (HTTPS), hoặc File Transfer Protocol (FTP) cho các download

+ Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty

+ Web publishing để bảo vệ các máy chủ FTP và published Web

+ Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là Outlook Anywhere trong Exchange Server 2007)

1.4.3 Forefront TMG cung cấp đầy đủ các tính năng của một Firewall

a, Các tính năng mới:

 Tương thích với Windows Server 2008, 64-bit: TMG chỉ có thể chạy trên Windows Server 2008 64-bit

 Tùy chọn Antivirus, Antimalware:

+ Quét những file bị lây nhiễm

+ Ngăn chặn những file bị nghi ngờ

+ Ngăn chặn những file tìm thấy đã bị hỏng

+ Ngăn chặn những file không thể scan

+ Ngăn chặn tất cả file đã được mã hóa

+ Ngăn chặn những file vượt quá thời gian admin qui định cho phép quét

+ Ngăn chặn những file có kích thước lớn do admin qui định

+ Loại bỏ các trang web một cách linh hoạt dựa trên địa chỉ IP, tên domain, các URL do admin định nghĩa

+ Kiểm soát nội dung: những sự lây nhiễm từ malware, virus có thể gây ra

sự chậm trễ trong việc truyền tải nội dung từ server đến client TMG sẽ kiểm sóat nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc hại Nếu như việc truyền tải dữ liệu từ server đến client bị chậm trễ, TMG sẽ tự động thông báo tiến trình đang quét file đến client, chẳng hạn như ”Nội dung đang được kiểm tra”

 Cấu hình quản lý truy cập web: Cho phép cấu hình quản lý việc truy cập web chỉ bằng 1 thao tác

 Ngăn chặn việc truy cập đến 1 địa chỉ đã được định trước:

+ Bật tính năng kiểm tra các phần mềm độc hại và theo dõi lưu lượng web

+ Bật tính năng Web Cache

b, Những tính năng cốt lõi:

 Server Publishing: Bảo mật truy cập đến các server trong hệ thống nội bộ

 Tường lửa sẽ tạo ra những form để bạn điền vào bằng cách chứng thực theo dạng form base: Tạo ra các form được khi truy cập vào những trang Outlook Web Access dựa trên form base Điều này tăng cường an ninh cho việc truy cập từ

xa vào Outlook Web Access bằng cách ngăn ngừa những user không được chứng thực liên lạc đến máy chủ Outlook Web Access

 Remote access đến Terminal Services bằng SSL: Những máy tính chạy HĐH Windows Server 2003 hỗ trợ RDP thông qua SSL cho phép kết nối SSL đến Windows Server 2003 Terminal Services

 Thi hành các kết nối RPC trong Microsoft Exchange từ Microsoft Outlook và client dùng kết nối MAPI: Publishing Rule cho phép người sử dụng kết nối từ xa đến Exchange Server bằng cách sử dụng đầy đủ chức năng Outlook MAPI client thông qua Internet Client sẽ được cấu hình để sử dụng an toàn rpc

đó Vì thế kết nối được mã hóa - RPC policy cho phép bạn khóa tất cả những kết nối không được mã hóa

 Outlook Web Access Publishing:

+ Truy cập từ xa thông qua các hình thức kết nối SSL của SSL VPNs

+ Tạo một bức tường lửa và tạo ra các quy định của Outlook Web Access SSL kết nối để Exchange Server của bạn

 Microsoft Office SharePoint Server Publishing: Giao diện wizard mới hướng dẫn publishes nhiềuWindows SharePoint Services sites

 Virtual Private Networking (VPN)

 Kết nối đến văn phòng chi nhánh bằng VPN: Tự động cấu hình kết nối VPN Site to site giữa 2 văn phòng

 Tích hợp giữa VPN với dịch vụ Microsoft Firewall: Bao gồm các chức năng đầy đủ của VPN

 Thanh lọc và kiểm tra cho VPN: VPN Client được cấu hình như một vùng mạng riêng Tạo chính sách cho các VPN client

 SecureNAT client hỗ trợ cho VPN clients kết nối đến TMG VPN server:

+ Mở rộng hỗ trợ VPN Client bằng cách cho phép Secure NAT truy cập Internet mà không yêu cầu Firewall Client cài đặt trên máy Client

+ Tăng cường an ninh mạng cho công ty, buộc người sử dụng dựa trên hoặc nhóm dựa trên firewall policy trên VPN SecureNAT client

 VPN Quarantine: Dùng công cụ VPN quarantine trên Windows Server

2003 cho việc thanh lọc và tích hợp vào firewall policy

 Publishing VPN servers:

+ Publish IP protocols và PPTP servers

+ Ứng dụng bộ lọc Smart PPTP để quản lý các kết nối phức tạp

+ Publish Windows Server 2003 NAT-T L2TP over IPSec VPN server bằng cách sử dụng TMG 06 server publishing

 Chế độ IPSec tunnel hỗ trợ cho kết nối site-to-site VPN links: Phát triển site-to-site link dùng chế độ IPSec tunnel như giao thức VPN

 Các tính năng quản lý

- Dễ dàng sử dụng các tính năng quản lý:

+ Bao gồm các tính năng quản l ý nhằm nâng cao mức độ an ninh mạng

+ Giao diện người dùng quen thuộc với task panes, context-sensitive Help panes, và Getting Started Wizard

 Export và import dữ liệu đã được cấu hình: Lưu dữ liệu đã được cấu hình thành file xml và sau đó bạn có thể import file này vào 1 server khác

 Ủy quyền cho firewall administrator roles: Bạn có thể gán quyền quản l ý administrative roles cho user hoặc group

 TMG Microsoft Operations Manager (MOM) Management Pack: MOM Management Pack cho phép doanh nghiệp xem sự kiện giám sát và củng cố cho các bức tường lửa hoạt động

 Mở rộng SDK: Bao gồm một bộ SDK toàn diện cho việc phát triển những công cụ xây dựng trên TMG firewall, bộ nhớ đệm, và các tính năng quản lý

 Mở rộng hỗ trợ các sản phẩm khác: Cung cấp các sản phẩm, chẳng hạn như quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng

và hội nhập với TMG

 Monitoring and Reporting: Giám sát và báo cáo hiệu quả hơn

- Giám sát việc đăng nhập:

+ Xem firewall, Web Proxy, và SMTP Message Screener logs

+ TMG Server Management hiển thị thị trực quan các mục đăng nhập giống như đang quay lại quá trình đăng nhập của người dùng

 Xây dựng truy vấn cơ sở đăng nhập:

+ Truy vấn các tập tin log bằng cách sử dụng trong truy vấn cơ sở đăng nhập

+ Truy vấn cho các bản ghi thông tin chứa trong bất kỳ lĩnh vực nào được ghi trong truy vấn cơ sở đăng nhập

+ Giới hạn phạm vi điều chỉnh của các truy vấn đến một khung thời gian cụ thể.

+ Kết quả sẽ được hiển thị trong TMG MBE Management, có thể được sao chép vào Clipboard và dán vào một ứng dụng khác cho phân tích chi tiết hơn

 Giám sát và lọc session dựa trên firewall sessions: Xem tất cả các hoạt động kết nối đến firewall Từ việc xem một session, bạn có thể phân loại hoặc ngắt session của 1 cá nhân hoặc 1 group

 Kết nối xác thực: Xác minh kết nối bằng cách thường xuyên theo dõi cụ thể kết nối tới một máy tính hoặc URL từ TMG MBE bằng cách sử dụng kết nối xác thực Bạn có thể cấu hình để sử dụng phương pháp đó để xác định loại kết nối: Ping, kết nối TCP đến một cổng cụ thể, hoặc HTTP GET

 Tùy biến báo cáo TMG: Tuỳ biến nâng cao tính năng cho thêm thông tin chi tiết trong firewall report

1.5 Giao diện của TMG 2010

Rule Base Search – Tính năng tìm kiếm mới có trong giao diện quản lý TMG

sẽ làm cho việc quản lý một số lượng lớn các rule trở nên đơn giản hơn Nếu muốn hiển thị bất cứ rule nào đang sử dụng giao thức DNS, bạn chỉ cần nhập cụm từ

“DNS” vào hộp tìm kiếm và kích biểu tượng chiếc kính lúp để thực thi tìm kiếm

Hình 1.10 Giao diện hiển thị các rule đang sử dụng giao thức DNS

Có một số cách để xây dựng các truy vấn Bạn có thể chọn tên, các cặp name: value và cặp property: value Để có thêm thông tin, bạn có thể kích liên kết Examples bên cạnh hộp tìm kiếm

Web Access Policy – Nút Web Access Policy mới trong cây giao diện hiển thị một khung nhìn hợp nhất các rule truy cập web đã được cấu hình trong TMG

Hình 1.11 Giao diện cấu hình truy cập Web

Không cần kết nối đến mỗi TMG firewall một cách riêng rẽ và nhập vào lệnh route từ dòng lệnh Để thêm vào một tuyến tĩnh, kích liên kết Create Network

Topology Route trong panel nhiệm vụ.

Hình 1.12 Giao diện tạo một tuyến tĩnh

Ở đây bạn sẽ được nhắc nhở cho việc cấu hình các thiết lập mạng và hệ thống, định nghĩa các tùy chọn triển khai Nếu cần tạo những thay đổi cấu hình đáng kể cho hệ thống hoặc định nghĩa lại các tùy chọn triển khai, bạn có thể chạy wizard lần nữa bằng cách kích nút trên cùng trong cây giao diện sau đó chọn tab Tasks trong pane nhiệm vụ và kích liên kết Launch Getting Started Wizard

Hình 1.13 Launch Getting Started Wizard trong cây giao diện

 Firewall Policy Grouping – Đây là một tính năng khác mà các quản trị viên với khối lượng lớn các rule phức tạp sẽ đánh giá cao giá trị của nó Để tạo một nhóm rule, chọn một hoặc nhiều rule nào đó, kích phải vào số rule đã chọn, chọn Create Group

Hình 1.14 Giao diện tạo một nhóm Rule

1.6 Các loại TMG Client

1.6.1 Web Proxy Client

Trong hệ điều hành Windows, WinInet cửa hàng cài đặt được sử dụng cho mục đích Web Proxy trong registry Nếu bạn thay đổi các thiết lập Internet Explorer, WinInet cập nhật sau đây đăng ký:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows

\CurrentVersion\Internet Settings.

Ví dụ, đăng ký được cập nhật khi bạn thay đổi các thiết lập sau đây, như thể hiện trong hình dưới đây

+ ProxyEnable Nếu giá trị DWORD là 0, trình duyệt cần truy cập vào

Internet trực tiếp Nếu giá trị là 1, các trình duyệt đang sử dụng một proxy để truy cập Internet

+ ProxyServer giá trị REG_SZ này quy định cụ thể tên và cổng được sử dụng

máy chủ Proxy

+ ProxyOverride Sử dụng giá trị REG_SZ để quản lý các địa chỉ địa

phương và không nên vượt qua máy chủ Proxy

INTERNET_OPEN_TYPE_DIRECT, có nghĩa là các ứng dụng sẽ không sử dụng một Web proxy và sẽ truy cập Internet trực tiếp Ứng dụng cũng có thể sử dụng các thiết lập registry hiện tại cho proxy bằng cách sử dụng loại truy cập INTERNET_OPEN_TYPE_PRECONFIG

1.6.3 Cấu hình Server-Side

Theo mặc định, TMG đã cho phép truy cập cho Web Proxy Client nằm trên mạng nội bộ mặc định Cổng mặc định lắng nghe là TCP cổng 8080 Bạn có thể xác nhận điều này bằng cách làm theo các bước sau:

1) Mở Forefront TMG Management Console.

2) Mở rộng nút Forefront TMG (Name Server) trong khung bên trái

3) Nhấp vào nút mạng ở khung bên trái và sau đó nhấp vào tab mạng ở giữa cửa

sổ Nhấp vào mạng nội bộ

4) Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải

5) Trong hộp thoại Internal Properties, nhấn vào tab Web Proxy

 Sử dụng Web Proxy Client

Mặc dù sử dụng cấu hình Web proxy máy khách có nhiều ưu điểm song nó cũng có một số hạn chế Các hạn chế chính là hỗ trợ giao thức Web Proxy Client

hỗ trợ các giao thức sau đây: Hypertext Transfer Protocol (HTTP), HTTP qua SSL (HTTPS), File Transfer Protocol (FTP) để yêu cầu tải về (Máy vi tính cấu hình là Web proxy client không hỗ trợ upload) Điều này có nghĩa rằng nếu bạn cần truy cập vào một ứng dụng sử dụng Winsock, Web Proxy Client sẽ không làm việc cho yêu cầu đó.

 Mạng đơn giản - Client và TMG là trên cùng một mạng con, và tất cả những

gì cần phải được cấu hình trên máy khách là gateway mặc định địa chỉ IP trên giao diện mạng nội bộ của TMG

 Mạng phức tạp - TMG và SecureNET Client được đặt trên các mạng con khác

nhau, với một hoặc nhiều bộ định tuyến ngăn cách các SecureNET Client từ TMG Trong mạng này, các bộ định tuyến trong chuỗi giữa client và TMG cần phải có cổng mặc định của nó chỉ đến địa chỉ IP nội bộ của TMG

1.7 Lý do chọn TMG thay vì ISA

Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát hành ISA Server 2006 cách đây gần mười năm Với việc phát hành Forefront Threat Management Gateway (TMG) 2010, Microsoft đã cung cấp cho chúng ta một giải pháp bảo mật tích hợp cạnh đó có thể cung cấp mức độ bảo vệ các kỹ sư

an ninh của chúng ta yêu cầu từ một cổng web hiện đại và an toàn Với sự hỗ trợ chủ đạo cuối cùng của ISA server 2006 SP1 nhiều tổ chức bây giờ cuối cùng cũng

đã bắt đầu xem xét việc nâng cấp cơ sở hạ tầng ISA hiện tại

TMG là ứng dụng 64-bit chạy trên hệ điều hành 64-bit của Microsoft – TMG chạy trên Windows Server 2008 SP2 và R2 Với sự hỗ trợ 64-bit TMG có thể giải

quyết nhiều bộ nhớ hơn so với máy chủ ISA Loại bỏ các bộ nhớ 4GB hạn chế đối với hệ điều hành 32-bit có nghĩa là TMG có thể mở rộng hiệu quả hơn và có thể xử

lý lưu lượng truy cập nhiều hơn so với người tiền nhiệm của nó

Windows Server 2008/R2 bao gồm một tăng cường kết nối mạng mới có thể làm tăng sự ổn định và cung cấp các cải tiến hiệu suất đáng kể trong một số môi trường Tăng cường kết nối mạng thế hệ Windows bao gồm các tính năng như Receive Window Auto Tuning, Receive-Side Scaling (RSS), Compound TCP và Explicit Congestion Notification (ECN) Sự thay đổi quan trọng nhất trong tăng cường kết nối mạng mới là Windows Filtering Platform (WFP), cho phép TMG tích hợp với tăng cường kết nối mạng chặt chẽ nhiều hơn trong các phiên bản trước Ngoài ra, các đặc điểm kỹ thuật mới NDIS cho phép các trình điều khiển tường lửa TMG để lọc lưu lượng truy cập ở tầng hai và cung cấp hỗ trợ VLAN và NIC

Bảo vệ Web nâng cao - Giống như người tiền nhiệm của nó, TMG là một

hệ thống phòng thủ vành đai nhiều lớp ngoài ra còn cung cấp truy cập từ xa Đa số các tính năng mới trong TMG được tập trung vào kịch bản proxyforward (gửi đi), tuy nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài nguyên trên Internet, TMG hiện nay bao gồm các khả năng sau đây web bảo vệ tiên tiến:

- URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn truy

cập đến các trang web được cho là độc hại hoặc không được phép bởi các chính sách sử dụng của công ty

- Web antimalware: Với chức năng quét virus và phần mềm độc hại được

tích hợp, TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin Người dùng được bảo vệ khi tải tập tin

- Network Inspection System (NIS): NIS là một phát hiện xâm nhập mới

với tính năng hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên giao thức Với chữ ký được phát triển bởi Microsoft Malware Protection Center

(MMPC) NIS được thiết kế để ngăn chặn các lỗ hổng trong phần mềm Microsoft được khai thác từ xa.

- HTTPS Inspection: HTTPS từ lâu đã được gọi là “giao thức vượt qua

tường lửa” HTTPS cung cấp mã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhất gần như vô dụng TMG có khả năng chấm dứt và giải mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập đầy đủ lớp sẽ diễn ra

- Bảo vệ E-Mail nâng cao TMG có thể tích hợp mật thiết với môi trường Exchange 2007/2010 hiện tại của bạn TMG hỗ trợ trong việc cài đặt vai trò Exchange edge transport trực tiếp trên tường lửa TMG, cũng như bảo vệ Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ chống phần mềm độc hại

- Cải tiến VPN - TMG hiện nay bao gồm hỗ trợ cho Secure Socket Tunneling Protocol (SSTP) SSTP sử dụng SSL để cung cấp an toàn, thông tin liên lạc mã hóa giữa máy khách đang chạy Windows Vista SP1 hoặcWindows 7

- Triển khai tùy chọn mới - TMG dễ dàng hơn nhiều để thực hiện nhờ vào việc hỗ trợ cho một kịch bản triển khai mới – mảng độc lập Bây giờ bạn có thể cấu hình một mảng của phiên bản tường lửa TMG doanh nghiệp mà không cần phải cài đặt và cấu hình một máy chủ quản lý doanh nghiệp (EMS – trước đây gọi

là máy chủ lưu trữ cấu hình, hoặc CSS)

- Cải tiến Mạng bổ sung :TMG hiện nay bao gồm hỗ trợ cho hai nhà cung cấp dịch

vụ Internet khác nhau trong một kịch bản cân bằng tải hoặc chuyển đổi dự phòng

- Như với bất kỳ việc nâng cấp sản phẩm chính nào có nhiều cải tiến nhỏ hơn

mà có thể không chú ý được Chúng bao gồm:

+ SIP filter: Bảo vệ lưu lượng Voice over IP (VoIP) là dễ dàng hơn nhiều với việc bổ sung củaSession Initiation Protocol (SIP) bộ lọc trong TMG

+ TFTP filter: Một TFTP mới làm đơn giản hoá quá trình cung cấp truy cập

an toàn tới các máy chủ TFTP

+ Cải thiện trang thông báo lỗi: Với các gói dịch vụ mới nhất, xem và cảm nhận của trang báo lỗi được cải thiện nhiều Chúng cũng dễ dàng tùy biến.+ Kết hợp với SCOM: TMG bao gồm việc hỗ trợ tích hợp với System Center Operations Manager (SCOM) 2007 và các phiên bản sau đó

Forefront Threat Management Gateway (TMG) 2010 cung cấp bảo vệ nhiều hơn đáng kể hơn so với người tiền nhiệm của nó với việc hỗ trợ 64-bit và cải tiến

hệ thống điều hành cơ bản ổn định, hiệu suất và khả năng mở rộng củaTMG đến nay vượt trội hơn so bất kỳ phiên bản trước của máy chủ ISA TMG bao gồm khả năng bảo vệ web tiên tiến nhiều không tìm thấy trong máy chủ ISA, bao gồm lọc URL, quét virus và phần mềm độc hại, phát hiện và phòng chống xâm nhập tiên tiến và khả năng kiểm tra HTTPS Mặc dù những cải tiến được thực hiện trong TMG chủ yếu tập trung vào bảo mật gửi đi, TMG bao gồm hỗ trợ cho việc tích hợp với Exchange cung cấp bảo vệ e-mail tiên tiến Ngoài ra, TMG vẫn cung cấp truy cập từ xa an toàn với sự hỗ trợ cho việc xuất bản Exchange 2010 và SharePoint 2010 Truy cập từ xa và VPN site-to-site vẫn được hỗ trợ, và với việc

bổ sung hỗ trợ cho giao thức SSTP, truy cập của khách hàng dựa trên VPN là mạnh mẽ hơn bao giờ hết Đã có những cải tiến trong khai thác và báo cáo và các tùy chọn triển khai mới Cải tiến NAT hỗ trợ nhiều cho nhà cung cấp dịch vụ Internet là cả hai cải thiện chào đón rằng sẽ đáp ứng nhu cầu quan trọng đối với các quản trị viên ISA hiện tại nhiều Đó là lý do chọn TMG

1.8 Yêu cầu hệ thống

 Forefront TMG - Đối với các phạm vi an ninh thống nhất với tường lửa

tích hợp, VPN, phòng chống xâm nhập, kiểm tra phần mềm độc hại và lọc URL

Phần cứng Yêu cầu tối thiểu

CPU 64-bit, 1,86 GHz, 2 lõi (1 CPU x dual core) xử lý

Memory 2 GB, 1 GHz RAM

Hard Disk

 2,5 GB không gian có sẵn Đây là độc quyền của các không gian đĩa cứng cần thiết cho bộ nhớ đệm hoặc file lưu trữ tạm trong khi kiểm tra phần mềm độc hại

 Một phân vùng đĩa cứng cục bộ được định dạng với hệ thống tập tin NTFS

 Network Policy Server

 Routing và Remote Access Services

 Active Directory Lightweight Directory Services Tools

 Network Tools Load Balancing

 Windows PowerShell

Phần mềm

khác

 Microsoft NET Framework 3.5 SP1

 Windows và dịch vụ Web API

 Cập nhật hệ điều hành Window

 Microsoft Windows Installer 4.5

 Quản lý Máy chủ Doanh nghiệp - Đối với các trung tâm quản lý của

Forefront TMG arrays Sử dụng EMS để tạo ra và cập nhật chính sách doanh nghiệp, và tạo các quy tắc chính sách để gán cho các mảng trong doanh nghiệp

CPU 64-bit, 1,86 GHz, bộ xử lý lõi kép.

and Features Active Directory Lightweight Directory Services Tools.

Phần mềm khác  Microsoft NET Framework 3.5 SP1.

 Microsoft Windows Installer 4.5

Forefront TMG Management - Đối với quản lý từ xa các máy chủ Forefront

TMG được cài đặt trên các máy tính khác

Phần cứng Yêu cầu tối thiểu

Phần mềm Yêu cầu tối thiểu

Hệ điều hành Windows Server 2008 R2, Windows Server 2008 SP2,

Windows 7 hoặc Windows Vista SP1

Chương 2: KHẢO SÁT PHÂN TÍCH HỆ THỐNG MẠNG CÔNG TY



2.1 Công ty TNHH Huyndai Merchant Marine Việt Nam

2.1.1 Giới thiệu công ty

Công ty TNHH Huyndai Merchant Marine Việt Nam hiện là liên doanh với Huyndai Merchant Marine và Công ty cổ phần Đại Lý liên hiệp vận chuyển (Gmadept) được thành lập chính thức ngày 27/07/2009

Là công ty hoạt động trong lĩnh vực vận tải biển, với hình thức hoạt động chính là: Thực hiện các hoạt động liên quan đến hàng hóa do Công ty Huyndai Merchant Việt Nam vận chuyển như: bán và tiếp thị dịch vụ vận tải biển qua giao dịch trực tiếp với khách hàng; đại diện cho chủ hàng; cung cấp thông tin kinh doanh theo yêu cầu; chuẩn bị tài liệu liên quan đến chứng từ vận tải; cung cấp các dịch vụ vận tải đường biển bao gồm cả dịch vụ vận tải nội địa bằng tàu mang quốc tịch Việt Nam để cung cấp dịch vụ vận tải tích hợp

Địa chỉ: Tòa nhà Fideco Tower 81-85 Hàm Nghi, Quận 1, TP Hồ Chí Minh

Điện thoại: 8233798 - Fax: 8233797

Giám đốc: JU KYEONG HO

2.1.2 Sơ đồ bộ máy tổ chức công ty

Hình 2.1 Sơ đồ tổ chức bộ máy công ty

- General Director: Mr Tai Huyn Lee: Có quyền nắm toàn quyền quyết

định về các dự án, hợp đồng và đề ra hướng đi cho Công ty

- General Manager/CFO: Mr Kim Dong Kil: Quản lý các bộ phận:

TPS, EU, I/A

- General Manager: Nguyễn Bảo Quốc: Quản lý các bộ phận: Accountan,

Information, Inbound, HR, IT

- TPS: Bộ phận chuyên làm việc với các Công ty vận chuyển hàng hóa của

Mỹ, tiếp nhận các đơn hàng, xuất nhập dữ liệu các mặt hàng vận chuyển

- EUR: Bộ phận chuyên làm việc với các Công ty vận chuyển hàng hóa của

Châu Âu

- I/A: Bộ phận chuyên làm việc với các Công ty vận chuyển hàng hóa

của Châu Á

- IT: Phụ trách về máy tính, máy in, máy photo và hệ thống mạng của Công

ty, các sự cố mạng, sẵn sàng xử lý vấn đề liên quan đến máy tính, máy in và hệ thống mạng

- Accountan: Bộ phận kế toán.

+ Ghi chép và hạch toán đúng, đầy đủ các nghiệp vụ kinh tế tài chính phát