Bảng 2.20: Bảng so sánh các tính năng cuat ISA 2006 và Forefront TMG
3.2.Phân tích yêu cầu và giải pháp
Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn, hiệu quả trong kinh doanh, chúng tôi xin đưa ra giải pháp nhằm đáp ứng những nhu cầu về bảo mật của công ty với MS Forefront TMG 2010 vì đây là sản phẩm cung cấp tính bảo mật thích hợp giữa Internet Security and Acceleration Server (ISA), Forefront Client Security, ForeFront Security for Exchange Server, Forefront Security for SharePoint. Với những tính năng ưu việt đó, MS ForeFront TMG 2010 có thể đáp ứng được nhu cầu sau: 3.2.1 Các tính năng mới Tính năng Mô tả Tính tương thích với Windows Server 2008, 64-bit
TMG chỉ có thể chạy trên Windows Server 2008 64-bit, do đó được thừa hưởng sử dụng tất cả những đặc tính mới của Windows 2008 như:
Active Directory - đem tới các phương tiện quản lý thông tin nhận dạng và các mối quan hệ cấu thành nên hệ thống mạng trong tổ chức, cung cấp những tính năng sẵn có cần thiết để cấu hình và quản trị hệ thống, người dùng và các thiết lập ứng dụng một cách tập trung.
Hyper-V (Ảo hóa và Hợp nhất) - cung cấp một nền tảng ảo hóa tin cậy cho phép khách hàng ảo hóa cơ sở hệ thống của họ và giảm bớt chi phí, công nghệ ảo hóa thế hệ mới dựa trên hypervisor dành cho máy chủ, cho phép tận dụng tối đa các khoản đầu tư phần cứng máy chủ bằng cách hợp nhất nhiều vai trò máy chủ như các máy ảo riêng biệt (VM) chạy trên một máy chủ vật lý duy nhất.
Chi nhánh và văn phòng toàn cầu - Đối với các tổ chức mở rộng phạm vi hoạt động và có các văn phòng chi nhánh phân tán về mặt địa lý, việc quản trị các nguồn tài nguyên trong hệ thống hạ tầng công nghệ thông tin phân tán và việc tối ưu hóa các kênh truyền thông có thể tạo ra những thách thức lớn. Với Windows Server 2008, bạn có thể duy trì những lợi ích về mặt hiệu năng, khả năng sẵn có và hiệu suất của các dịch vụ tại văn phòng chi nhánh, giúp bạn hợp lý hóa việc triển khai, đảm bảo kết nối tin cậy và tính bảo mật cao, đồng thời hạ thấp chi phí quản lý, đồng thời khắc phục được một số khó khăn gắn với việc quản lý một môi trường kết hợp của văn phòng chi nhánh và văn phòng toàn cầu.
Cơ sở hạ tầng lõi - Windows Server 2008 duy trì và tăng cường các dịch vụ cơ sở hạ tầng lõi, các dịch vụ này luôn là một phần của Windows Server, đem tới một nền tảng vững chắc cho doanh nghiệp của bạn: Các dịch vụ File và in ấn, Internet Information Server 7 (IIS 7.0), Domain Name System (DNS), Dynamic Host Control Protocol (DHCP), Windows Internet Name Service (WINS), Active Directory (AD), Sao lưu và Khôi phục.
Bảo mật và thực thi chính sách - Bảo vệ mạng là một trong những thách thức khó khăn nhất trong ngành CNTT ngày nay. Quản trị mạng cần thiết lập và thực thi các chính sách bảo mật để để để đem tới khả năng bảo vệ chắc chắn, đồng thời đủ linh
bên trong và bên ngoài tổ chức, số loại thiết bị, cấu hình hệ thống và hình thức kết nối mạng ngày càng tăng. Bên cạnh nhiều tính năng nâng cao đối vớiActive Directory giúp quản lý Nhận dạng và Truy cập hiệu quả hơn.
Quản lý máy chủ - Để quản trị một máy chủ duy nhất, Server Manager là một Microsoft Management Console (MMC) mới, đem tới các khả năng quản lý suôn sẻ và tích hợp. Trong các doanh nghiệp có quy mô lớn hơn, có thể tự động hóa việc quản lý nhiều máy chủ bằng cách sử dụng Windows PowerShell, gồm shell kiểu dòng lệnh và ngôn ngữ kịch bản mới được thiết kế đặc biệt để tự động hóa các tác vụ quản lý đối với các vai trò máy chủ, như là Internet Information Services (IIS) và Active Directory. Bất cứ tổ chức nào cũng có thể hưởng lợi từ Windows Deployment Services, Windows Performance và Reliability Monitor.
Ảo hóa trình diễn với Terminal Services - Terminal Services trong Windows Server 2008 có thể mang lại khả năng truy cập tập trung tới các ứng dụng mà không cần cung cấp một desktop đầy đủ từ xa: Đối với người dùng cuối, ứng dụng xuất hiện như thể đang hoạt động trên desktop tại chỗ, trong khi đó, trên thực tế, người dùng chỉ đang thao tác với phần trình diễn của ứng dụng đang chạy từ xa này. Với Terminal Services trong Windows Server 2008, tổ chức có thể cung cấp khả năng truy cập bảo mật hơn tới các ứng dụng được tập trung hóa mà không cần một mạng riêng ảo (VPN) và không cần phải mở hết các cổng không mong muốn trên trên các tường lửa. Điều này giảm bớt tính phức tạp cần thiết để cung cấp khả năng truy cập bảo mật từ xa tới các ứng dụng và dữ liệu. Trường hợp triển khai với nhiều máy chủ, các tính năng mới về cân bằng tải đem tới một phương thức đơn giản để đảm bảo hiệu năng tối ưu bằng cách mở rộng các phiên trong các nguồn tài nguyên có sẵn, chịu tải ít nhất.
Các giải pháp Nhận dạng và Truy cập của Microsoft - Việc quản lý thông tin nhận dạng của người dùng là ưu tiên hàng đầu đối với nhiều doanh nghiệp ngày nay. Mọi người cần truy cập tới nhiều hệ thống và tài nguyên trên mạng công ty, sử dụng nhiều loại thiết bị. Tuy nhiên, nhiều hệ thống trong số
này không giao tiếp được với nhau, và tình trạng một người dùng có nhiều ID là khá phổ biến. Do vậy, việc quản lý các ID dự phòng này trở nên phức tạp, mất thời gian, và làm tăng thêm các rủi ro về bảo mật do lỗi gây ra.
Hiệu năng cao - Phương thức tính toán truyền thống được thực hiện dưới hình thức một ứng dụng chạy trên một máy chủ hay một workstation.Tất cả các lệnh của một ứng dụng đều được xử lý trên hệ thống cục bộ. Trong khi đó, tính toán hiệu năng cao (HPC) lại sử dụng sức mạnh xử lý của nhiều hệ thống để xử lý các lệnh của một ứng dụng. Việc phân phối khối lượng xử lý trên nhiều hệ thống sẽ giúp tăng tốc độ xử lý dữ liệu. Lợi ích và các khoản tiết kiệm chi phí của Windows Server 2008 mở rộng tới Windows HPC Server 2008 để phục vụ cho môi trường tính toán hiệu năng cao (HPC) của bạn. Windows HPC Server 2008 được xây dựng trên nền Windows Server 2008, công nghệ 64 bit và có thể mở rộng một cách hiệu quả tới hàng nghìn lõi xử lý với tính năng có sẵn để cải thiện hiệu suất, và giảm tính phức tạp của môi trường HPC. Windows HPC Server 2008 cho phép triển khai rộng rãi hơn bằng cách đem tới cho người dùng cuối những trải nghiệm phong phú và tích hợp, mở rộng từ ứng dụng máy bàn tới các cụm máy, và bao gồm một bộ trọn vẹn các công cụ triển khai, quản trị và giám sát. Các công cụ này dễ triển khai, quản lý và tích hợp với hạ tầng mạng Công ty.
Tính sẵn có cao - Việc cung cấp khả năng sẵn có cao cho các ứng dụng, dịch vụ, và dữ liệu quan trọng là mục tiêu chính mang lại thành công cho hoạt động của bộ phận CNTT. Khi dịch vụ ngừng hoạt động hoặc bị trục trặc, hoạt động kinh doanh sẽ bị gián đoạn, và có thể gây ra những tổn thất đáng kể. Windows Server 2008 hỗ trợ nhiều đặc tính then chốt, sẵn có cao để giúp các tổ chức đáp ứng được những yêu cầu riêng của mình đối với các hệ thống quan trọng, như Failover Clustering,Network Load Balancing (NLB), Shadow Copy, Windows Server Backup và một công cụ mới, Windows Recovery Environment.
softwareAntivirus, Antimalware cho hệ thống là Kaspersky Internet Security 2012.
Kaspersky Lab ZAO. Kaspersky Internet Security 2012 ấn tượng hơn về giao diện chương trình, chiếm ít tài nguyên hơn, cung cấp khả năng bảo vệ cao cấp chống lại virus, Trojan, spam, hacker, … Công nghệ bảo mật tiên tiến kết hợp với công nghệ điện toán đám mây đầy sáng tạo mang đến cho người dùng tốc độ nhanh hơn và hiệu quả hơn để chống lại các mối đe dọa đầy phức tạp đang ngày càng phát triển hiện nay. Các tính năng tiêu biểu:
Quét những file bị lây nhiễm Ngăn chặn những file bị nghi ngờ
Ngăn chặn những file tìm thấy đã bị hỏng Ngăn chặn những file không thể scan Ngăn chặn tất cả file đã được mã hóa
Ngăn chặn những file vượt quá thời gian admin qui định cho phép quét
Ngăn chặn những file có kích thước lớn do admin qui định Loại bỏ các trang web một cách linh hoạt dựa trên địa chỉ IP, tên domain, các URL do admin định nghĩa.
Kiểm soát nội dung với TMG:những sự lây nhiễm từ malware, virus có thể gây ra chậm trễ trong việc truyền tải nội dung từ server đến client.TMG sẽ kiểm sóat nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc hại.Nếu như việc truyền tải dữ liệu từ server đến client bị chậm trễ, TMG sẽ tự động thông báo tiến trình đang quét đến client, chẳng hạn như ”Nội dung đang được kiểm tra”
Cấu hình quản lý truy cập web
Cho phép cấu hình quản lý việc truy cập web chỉ bằng 1 thao tác.
Một trong những tính năng nổi trội của Forefront TMG 2010 so với Microsoft ISA Server là Secure Web Gateway (SWG). SWG có chức năng lọc & kiểm soát những chương trình độc hại (malware), virus, các website độc hại.. từ những phiên kết nối internet của người sử dụng trong hệ thống mạng doanh nghiệp. Ngoài ra SWG có thể áp đặt chính sách cho phép nhân viên sử dụng tài nguyên internet một cách an toàn & hiệu quả. Trên Forefront TMG 2010, SWG bao gồm 3 thành phần
chính:
URL filtering - phân loại các website được biết đến vào các nhóm, để kích hoạt báo cáo toàn diện cũng như khóa một số website, hoặc website được cho phép truy cập, nguy cơ bảo mật…
Malicious code filtering - loại bỏ tất cả mã độc và không mong muốn từ việc truy cập Web.
Web application-level control - cho phép các doanh nghiệp quản lý có phương pháp và sử dụng các ứng dụng công cộng trên nền tảng Internet, như IM, Internet telephony, lưu trữ web, peer-to-peer, web conferencing, chat,…
Forefront TMG cung cấp khả năng bảo vệ toàn diện đối với những nguy cơ từ internet, lọc URL, kiểm tra mã độc, khả năng phòng chống xâm nhập đến web client.
Forefront TMG dễ dàng triển khai với doanh nghiệp với mọi quy mô.
Cải thiện tính năng báo cáo từ ISA Server bằng cách sử dụng SQL Reporting Services để tạo các báo cáo tùy chỉnh hoặc tổng hợp báo cáo.
Người quản trị viên có thể dùng Web Access Wizard cấu hình Forefront TMG áp đặt chính sách của tồ chức cho việc truy cập Web.
Forefront TMG cung cấp việc quản lý hệ thống ở cập độ enterprise, liên kết liền mạch với Active Directory dùng cho việc chứng thực, cấp quyền.
Ngăn chặn việc truy cập đến 1 địa chỉ đã được định trước
HTTPS Inspection: bật tính năng kiểm tra các kết nối mã hóa HTTPS chống mã độc và tấn công khai thác lỗ hổng bảo mật. Bật tính năng kiểm tra các phần mềm độc hại và theo dõi lưu lượng web
Bật tính năng Web Cache
URL filtering - cho phép hoặc từ chối truy cập dựa trên loại URL (vd: ma túy, khiêu dâm, mua sắm…) Doanh nghiệp không những cấm các nhân viên trong cty truy cập những trang web độc hại mà còn bảo vệ hiệu quả năng suất làm việc của doanh nghiệp đó.
Network Inspection System (NIS): cho phép những luồn giao thông mạng được kiểm tra,ngăn chặn khai thác lổ hổng của Microsoft. Dựa trên những phân tích các giao thức, NIS có thể khóa các lớp tấn công sai trái một cách tích cực.