BÀI GIẢNG TMG 2010 GV: Lê Văn Hùng Email: hungolympia2001@gmail.com Sơ đồ tổng quan hệ thống mạng sử dụng TMG 2010 Khái niệm Firewall • Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) • Thơng thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trò bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Chức Firewall • Chức Firewall kiểm sốt luồng thơng tin từ Intranet Internet Thiết lập chế điều khiển dòng thơng tin mạng bên (Intranet) mạng Internet Cụ thể là: • Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) • Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) • Theo dõi luồng liệu mạng Internet Intranet • Kiểm soát địa truy nhập, cấm địa truy nhập • Kiểm sốt người sử dụng việc truy nhập người sử Các thành phần Firewall Firewall chuẩn bao gồm hay nhiều thành phần sau đây: • Bộ lọc packet (packet-filtering router) • Cổng ứng dụng (application-level gateway hay proxy server) • Cổng mạch (circuite level gateway) • Bộ lọc paket (Paket filtering router) Ưu điểm Firewall • Đa số hệ thống firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router • Ngồi ra, lọc packet suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt Nhược điểm Firewall • Việc định nghĩa chế độ lọc package việc phức tạp: đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý điều khiển • Do làm việc dựa header packet, rõ ràng lọc packet khơng kiểm sốt nội dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thơng tin hay phá hoại kẻ xấu • Cổng ứng dụng (application-level getway) Những hạn chế Firewall • Firewall khơng đủ thơng minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thơng số địa • Firewall khơng thể ngăn chặn công công khơng "đi qua" Một cách cụ thể, firewall chống lại công từ đường dial-up, dò rỉ thơng tin liệu bị chép bất hợp pháp lên đĩa mềm Những hạn chế Firewall • Firewall khơng thể chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua firewall vào mạng bảo vệ bắt đầu hoạt động • Một ví dụ virus máy tính Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát firewall Q trình phát triển Forefront TMG 2010 • Q trình phát triển MS Forefront TMG 2010 trãi qua giai đoạn phát triển sau: • 1/1997 - Microsoft Proxy Server v1.0 (Catapult) • 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000) • 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA • Server 2004) • 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006) • 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) Content Download Job • Nhập tên tùy ý - Nhấn Next Content Download Job • Chọn lịch trình Download Daily (hàng ngày) - Nhấn Next Content Download Job • Trong khung Job start time: định sau hành khoảng phút Nhấn Next • Khung Download content from this URL: Nhập URL trang Web cần download http://chaydau.c om - Nhấn Next Content Download Job • Nhấn Yes để khởi động dịch vụ • Nhấn Apply • Nhấn OK sau nhấn Apply Apply - OK để lưu thay đổi • Mở lại hộp thoại Cache Setting, sang tab Content Download, chọn job vừa tạo nhấn Start Job Malware Inspection • Tiếp theo tơi cấu hình chức Malware Inspection Triên tiên bạn cần kiểm tra việc cập nhật cho chức Malware Inspection cách chọn Update Center, quan sát chức Malware cập nhật đầy đủ (trạng thái hiển thị Up to date) Malware Inspection • Nếu chưa cập nhật chưa khai báo việc cập nhật bước cấu hình TMG, bạn cấu hình cách sau (lưu ý TMG cập nhật hồn tất bạn bỏ qua bước này) ChọnForefront TMG (Tên Server) Launch Getting Started Wizrd Malware Inspection • Nếu chưa cập nhật chưa khai báo việc cập nhật bước cấu hình TMG, bạn cấu hình cách sau (lưu ý TMG cập nhật hồn tất bạn bỏ qua bước này) ChọnForefront TMG (Tên Server) Launch Getting Started Wizrd HTTP Filter • HTTP filter chức cho phép lọc chặn dựa vào nội dung gói tin HTTP truy cập Web • Trên TMG sử dụng chức để cấm download loại file định, cấm theo phương thức truy cập web cấm dựa vào thông số signature ứng dụng truy cập Web ứng dụng Chat hay Game online… HTTP Filter • Chọn Firewall Policy - Bấm phải chuột lên Access Rule Allow Web - Chọn Configure HTTP HTTP Filter • Sang Tab Extensions Chọn Block specified extensions (allow all others) - Nhấn Add • Nhập loại file mà bạn muốn cấm, ví dụ tơi muốn cấm download file có phần mở rộng exe, nhập exe - Nhấn OK • Nhấn OK sau nhấn Apply - Apply OK để lưu thay đổi HTTP Filter • Sang máy DC, kiểm tra tìm download file có phần mở rộng EXE, bạn nhận báo lỗi hình với thơng tin Source Web filter Ngăn chặn video YouTube nội dung Flash HÌNH ẢNH • click chuột phải vào Firewall Policy > New Access Rule và tạo “Deny” với tên “Block Youtube” làm theo bước sau: – Deny – Applies to: All Outbound trafc – From: Internal – To: External – All Users – Click Finish để đóng cửa sổ Wizard Ngăn chặn video YouTube nội dung Flash HÌNH ẢNH • Chọn thẻ Content Types > Click New – Tạo Content type Set sau: – Tên: YouTube – Available types: (bạn gõ kiểu file sau click nút Add)  *VIDEO/*  *.JPG  *IEMAGE/JPEG Ngăn chặn video YouTube nội dung Flash HÌNH ẢNH • Click ok, đảm bảo bạn chọn vào Youtube mà bạn vừa tạo để kích hoạt • Click Ok Apple để áp dụng thay đổi Block Adobe Flash Player sử dụng TMG • Thực từ bước đến bước • Trong tạo Content type set mới, bạn sử dụng thông số sau: – Tên: Flash – Trong ô available types box, bạn gõ: – application/x-shockwave-flash • Bạn thực giống bước • Ngăn chặn  thêm kiểu MIME ... hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý... khiển dòng thơng tin mạng bên (Intranet) mạng Internet Cụ thể là: • Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) • Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) • Theo... thống mạng sử dụng TMG 2010 Khái niệm Firewall • Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ