Lý do chọn TMG thay vì ISA

Một phần của tài liệu Báo cáo thực tập nghiên cứu công nghệ firewall, triển khai ứng dụng TMG 2010 cho doanh nghiệp (Trang 33)

- Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát hành ISA Server 2006 cách đây gần sáu năm. ISA là một lợi thế tuyệt vời cho giải pháp tường lửa, proxy và máy chủ VPN, nhưng nó thiếu khả năng bảo vệ web tiên tiến và cần thiết để bảo vệ người dùng của chúng ta từ các cuộc tấn công trên

34 mạng Internet ngày nay. Với việc phát hành Forefront Threat Management Gateway (TMG) 2010, Microsoft đã cung cấp cho chúng ta một giải pháp bảo mật tích hợp cạnh đó có thể cung cấp mức độ bảo vệ các kỹ sư an ninh của chúng ta yêu cầu từ một cổng web hiện đại và an toàn. Với sự hỗ trợ chủ đạo cuối cùng của ISA server 2006 SP1 nhiều tổ chức bây giờ cuối cùng cũng đã bắt đầu xem xét việc nâng cấp cơ sở hạ tầng ISA hiện tại.

- TMG là ứng dụng 64-bit chạy trên hệ điều hành 64-bit mới nhất của Microsoft – Windows Server 2008 R2. Cũng được hỗ trợ cài đặt trên Windows Server 2008 SP2. Với sự hỗ trợ 64-bit TMG có thể giải quyết nhiều bộ nhớ hơn so với máy chủ ISA. Loại bỏ các bộ nhớ 4GB hạn chế đối với hệ điều hành 32-bit có nghĩa là TMG có thể mở rộng hiệu quả hơn và có thể xử lý lưu lượng truy cập nhiều hơn so với người tiền nhiệm của nó.

- TMG chạy trên Windows Server 2008 SP2 và R2

- Ngoài việc truy cập vào bộ nhớ nhiều hơn, Windows Server 2008/R2 bao gồm một tăng cường kết nối mạng mới có thể làm tăng sự ổn định và cung cấp các cải tiến hiệu suất đáng kể trong một số môi trường. Tăng cường kết nối mạng thế hệ Windows bao gồm các tính năng như Receive Window Auto Tuning, Receive- Side Scaling (RSS), Compound TCP và Explicit Congestion Notification (ECN). Cựu chiến binh ISA quản trị máy chủ biết rằng một số các tính năng này, bao gồm trong các mạng Scalable Networking Pack (SNP) và sau đó được bao gồm trong Service Pack 1 (SP1) choWindows Server 2003, mâu thuẫn với ISA và đã được vô hiệu hóa. Không còn là một vấn đề với TMG và Windows Server 2008/R2! Ngoài ra còn có cải tiến để phát hiện cổng chết và cải tiến trong việc phát hiện lỗ đen bộ định tuyến. Sự thay đổi quan trọng nhất trong tăng cường kết nối mạng mới là Windows Filtering Platform (WFP), cho phép TMG tích hợp với tăng cường kết nối mạng chặt chẽ nhiều hơn trong các phiên bản trước. Ngoài ra, các đặc điểm kỹ thuật mới NDIS cho phép các trình điều khiển tường lửa TMG để lọc lưu lượng truy

35 cập ở tầng hai và cung cấp hỗ trợ VLAN và NIC. Bạn có thể đọc thêm về vô số

những thay đổi và cải tiến tăng cường

mạng Windows 2008/R2.Windows 2008/R2 máy chủ được đánh giá cao hơn, làm cho hiệu suất giám sát và xử lý sự cố dễ dàng hơn nhiều ở đây.

- Bảo vệ Web nâng cao

- Giống như người tiền nhiệm của nó, TMG là một hệ thống phòng thủ vành đai nhiều lớp ngoài ra còn cung cấp truy cập từ xa. Đa số các tính năng mới trong TMG được tập trung vào kịch bản proxyforward (gửi đi), tuy nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài nguyên trên Internet, TMG hiện nay bao gồm các khả năng sau đây web bảo vệ tiên tiến: - URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn truy cập đến các trang web được cho là độc hại hoặc không được phép bởi các chính sách sử dụng của công ty.

- Web antimalware: Với chức năng quét virus và phần mềm độc hại được tích hợp, TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin. Người dùng được bảo vệ khi tải tập tin.

- Network Inspection System (NIS): NIS là một phát hiện xâm nhập mới với tính năng hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên giao thức. Với chữ ký được phát triển bởi Microsoft Malware Protection Center (MMPC) và phát hành đồng thời với các cập nhật bảo mật vào ngày Thứ Ba tuần thứ 2 hàng tháng (bản vá thứ ba), NIS được thiết kế để ngăn chặn các lỗ hổng trong phần mềm Microsoft được khai thác từ xa.

- HTTPS Inspection: HTTPS từ lâu đã được gọi là “giao thức vượt qua tường lửa”. HTTPS cung cấp mã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhất gần như vô dụng. TMG có khả năng chấm dứt và giải mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập đầy đủ lớp sẽ diễn ra.

36 - Bảo vệ E-Mail nâng cao

- Để cung cấp bảo vệ e-mail mở rộng, TMG có thể tích hợp mật thiết với môi trường Exchange 2007/2010 hiện tại của bạn. TMG hỗ trợ trong việc cài đặt vai trò Exchange edge transport trực tiếp trên tường lửa TMG, cũng như bảo vệ Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ chống phần mềm độc hại. Những lợi thế của kịch bản triển khai này là củng cố hệ thống cạnh và chính sách e-mail đơn giản hóa quản lý bằng cách sử dụng giao diện điều khiển quản lý TMG. Sử dụng một mảng nhóm tường lửa TMG cũng cung cấp cân bằng tải và khả năng chịu lỗi cho việc chuyển tiếp mail an toàn.

- Cải tiến VPN

- TMG hiện nay bao gồm hỗ trợ cho Secure Socket Tunneling Protocol (SSTP). SSTP sử dụng SSL để cung cấp an toàn, thông tin liên lạc mã hóa giữa máy khách đang chạy Windows Vista SP1 hoặcWindows 7 và tường lửa TMG. SSTP là tường lửa rất thân thiện, bằng cách sử dụng cổng TCP phổ biến 443 mà rất nhiều kinh nghiệm truy cập VPN từ xa và cung cấp truy cập rộng nhiều hơn nữa để các tài nguyên của công ty. Ngoài ra, TMG cũng hỗ trợ kết hợp Network Access Protection (NAP). Điều này cho phép quản trị viên TMG tận dụng cơ sở hạ tầng NAP hiện có của họ để thực thi chính sách cấu hình thiết bị đầu cuối cho client truy cập từ xa. - Cải tiến Log và Report

- Cơ sở hạ tầng log trong TMG được cải thiện rất nhiều so với các phiên bản trước của máy chủ ISA.TMG tại cài đặt SQL Server 2008 Express theo mặc định, đó là tốt hơn đáng kể so với MSDE cung cấp trên ISA. Đối với khả năng phục hồi thêm, TMG có khả năng hàng đợi dữ liệu được ghi vào đĩa. Với truy vấn log, TMG có thể tiếp tục logp và yêu cầu dịch vụ ngay cả khi cơ sở dữ liệu đang offiline vì lý do nào. Quản trị viên ISA có kinh nghiệm quản lý môi trường rất bận rộn nhận thức được những gì sẽ xảy ra khi ISA không thể log vào cơ sở dữ liệu các dịch vụ tường lửa sẽ tắt và lưu lượng truy cập tất cả sẽ bị chặn. Những ngày trên!

37 Báo cáo đã được cải thiện là tốt, với TMG bây giờ sử dụng SQLServer Reporting Services (SRSS) để tạo ra các bản báo cáo. Việc xem xét tổng thể và cảm nhận của báo cáo là tốt hơn nhiều quá.

- Triển khai tùy chọn mới

- TMG dễ dàng hơn nhiều để thực hiện nhờ vào việc hỗ trợ cho một kịch bản triển khai mới – mảng độc lập. Bây giờ bạn có thể cấu hình một mảng của phiên bản tường lửa TMG doanh nghiệp mà không cần phải cài đặt và cấu hình một máy chủ quản lý doanh nghiệp (EMS – trước đây gọi là máy chủ lưu trữ cấu hình, hoặc CSS). Ngoài ra, cả hai phiên bản Standard và Enterprise của TMG bây giờ sử dụngDirectory Services Active Directory Lightweight (AD LDS) cho việc lưu trữ cấu hình Local. Ngược lại, ISA máy chủ sử dụng Active Directory Application Mode (ADAM) cho phiên bản Enterprise vàWindows registry cho phiên bản Standard. Sự thay đổi này làm cho nó có thể cho một tường lửa TMG để được tham gia vào một mảng sau khi TMG được cài đặt. Nó cũng có thể chia rẻ một mảng mà không cần phải gỡ bỏ cài đặt TMG.

- Cải tiến Mạng bổ sung

- Ngoài những cải tiến để tăng cường kết nối mạng của hệ thống hệ điều hành cơ bản được nêu trước đó, TMG hiện nay bao gồm hỗ trợ cho hai nhà cung cấp dịch vụ Internet khác nhau trong một kịch bản cân bằng tải hoặc chuyển đổi dự phòng. Thay đổi tới NAT trong TMG giờ đây cho phép người quản trị cấu hình chính sách NAT chi tiết hơn, bao gồm cả việc thiết lập một quy tắc NAT. Gần đây nhất, TMGService Pack 2 (SP2) cung cấp khả năng để tận dụng việc xác thực Kerberos cho các client web proxy đã được cấu hình để sử dụng Network Load Balancing (NLB) địa chỉ IP ảo (virtual IP address – VIP).

- Nhưng hãy đợi vẫn còn có nhiều hơn nữa!

- Như với bất kỳ việc nâng cấp sản phẩm chính nào có nhiều cải tiến nhỏ hơn mà có thể không chú ý được. TMG là không có ngoại lệ. Nhiều trong số những tính

38 năng mới và khả năng sẽ làm cho cuộc sống của quản trị tường lửa ISA dễ dàng hơn nhiều. Chúng bao gồm:

- SIP filter: Bảo vệ lưu lượng Voice over IP (VoIP) là dễ dàng hơn nhiều với việc bổ sung củaSession Initiation Protocol (SIP) bộ lọc trong TMG.

- TFTP filter: Một TFTP mới làm đơn giản hoá quá trình cung cấp truy cập an toàn tới các máy chủ TFTP.

- Cải thiện trang thông báo lỗi: Với các gói dịch vụ mới nhất, xem và cảm nhận của trang báo lỗi được cải thiện nhiều. Chúng cũng dễ dàng tùy biến.

- Kết hợp với SCOM: TMG bao gồm việc hỗ trợ tích hợp với System Center Operations Manager (SCOM) 2007 và các phiên bản sau đó.

 Vì vậy, bạn còn chờ gì nữa? Như bạn đã thấy, Forefront Threat Management Gateway (TMG) 2010có rất nhiều cung cấp. Nó cung cấp bảo vệ nhiều hơn đáng kể hơn so với người tiền nhiệm của nó với việc hỗ trợ 64-bit và cải tiến hệ thống điều hành cơ bản ổn định, hiệu suất và khả năng mở rộng củaTMG đến nay vượt trội hơn so bất kỳ phiên bản trước của máy chủ ISA. TMG bao gồm khả năng bảo vệ web tiên tiến nhiều không tìm thấy trong máy chủ ISA, bao gồm lọc URL, quét virus và phần mềm độc hại, phát hiện và phòng chống xâm nhập tiên tiến và khả năng kiểm tra HTTPS. Mặc dù những cải tiến được thực hiện trong TMG chủ yếu tập trung vào bảo mật gửi đi, TMG bao gồm hỗ trợ cho việc tích hợp với Exchange cung cấp bảo vệ e-mail tiên tiến. Ngoài ra, TMG vẫn cung cấp truy cập từ xa an toàn với sự hỗ trợ cho việc xuất bản Exchange 2010 và SharePoint 2010. Truy cập từ xa và VPNsite- to-site vẫn được hỗ trợ, và với việc bổ sung hỗ trợ cho giao thức SSTP, truy cập của khách hàng dựa trên VPN là mạnh mẽ hơn bao giờ hết. Đã có những cải tiến trong khai thác và báo cáo, các tùy chọn triển khai mới. Cải tiến NAT hỗ trợ nhiều cho nhà cung cấp dịch vụ Internet . Đó là lý do chọn TMG.

39

CHƯƠNG IV: NỘI DUNG THỰC HIỆN. 4.1 Yêu cầu hệ thống.

4.4.1 Yêu cầu phần cứng.

- Dung lượng RAM tối thiểu 1 GB - Dung lượng HDD còn ít nhất 150Mb - Hệ điều hành được hỗ trợ Windows 7 Windows Server 2003 Windows Server 2008 Windows Windows XP

TMG không hỗ trợ trên Windows server 2012

- Forefront TMG phải chạy hệ điều hành Windows Server 64bit và ở phiên bản Forefront TMG Beta1 thì máy tính cài đặt phải là Domain Member.

Yêu cầu Tối thiểu Đề nghị

Processor 2 core (1 CPU x dual core) 64-bit processor

4 core (2 CPU x dual core or 1 CPU x quad core) 64-bit processor

Memory 2 gigabytes (GB) 4 gigabytes (GB)

HardDisk Space 2,5 GB dung lượng trống 2,5 GB dung lượng trống

Network

1 card mạng cho việc kết nối tới Internal network

Mỗi network kết nối tới TMG cần có một card mạng

40

4.4.2 Yêu cầu phần mềm.

- Windows Roles and Features

+ Network Policy and Access Server

+ Active Directory Lightweight Directory Services (ADLDS) + Network Load Balancing (NLB)

- Microsoft® .NET 3.5 Framework SP1 - Windows Web Services API

4.2 Cài đặt TMG 2010.

A .Để cài TMG bạn cần cài .NET 3.5 nên khi chạy chương trình cài đặt TMG bạn cần click vào RUN preparation để nó cài đặt các yêu cầu trước.

41 - Nhấn Next để tiếp tục

Hình 4.2 Tiến trình cài đặt

- Tích chọn I accept the tems of the license agreements và click Next - Tích chọn Forefront TMG services and Management. click Next - Tại đây tiến trình cài đặt cho phần mềm đang bắt đầu

42

Hình 4. 3 Hoàn thành cài đặt Run Preparation Tool

B. Cài đặt TMG

- Ở menu chính của software cài đặt TMG bạn chọn Installation Wizard

43 - Nhấn Next để tục cài đặt

- Tích chọn I accept the terms in the license agreement và click Next

Hình 4.5 Tiến trình cài đặt Run Intallation Winzard

- Nhập vào các thông tin khách hàng (tên người dùng, tổ chức và số sản phẩm) trong trang Customer Information và kích Next.

44 - Tích chọn Forefront TMG services and Management .

Hình 4.7 Chọn phương thức cài đặt

- Nhấn next để tiếp tục.

45 - Chọn card mạng ra lan.

Hình 4.9 Chọn card mạng ra trong mạng lan và chọn địa chỉ cấp ra

- Chọn dải địa chỉ mà mạng lan đã quy định của công ty và chon next. - Nhấn install để tiếp tục cài đặt.

46 - Chọn configure network setting.

Hình Hình 4.11 Chọn card confgure network setting cấu hình

- Chọn card mạng ra lan của máy TMG và nhập địa chỉ.

47 - Chọn card ra ngoài internet của máy TMG nhập địa chỉ cho card.

Hình 4.13 Địa chỉ card ra internet: Exter

- Chọn next.

48 - Chọn chế độ tắt update và nhấn next.

Hình 4.15 Tắt chế độ update

- Nhấn next để tiếp tục.

- Chọn None. No information is sent to Microsoft và next. - Chọn close để hòa thành quá trình cài đặt TMG.

49 - Giao diện TMG khi mới cài đặt song.

Hình 4.17 Giao diện mới cài đặt song TMG

4.3Cấu hình 1 số tính năng của TMG để quản lý nhần viên. 4.3.1 Web acess. 4.3.1 Web acess.

- Cấu hình access rule cho phép truy cập internet

- Theo mặc định khi cài đặt tường lửa thành công thì tường lửa sẽ khóa truy cập internet cho đến khi người quản trị thực hiện tạo access rule cho phép truy cập. - Cấu hình chọn Firewall policy chọn New chọn tiếp là Access Rule.

50

Hình 4.18 Tạo Access rule

- Đặt tên Access rule và next để tiếp tục

Hình 4.19 Đặt tên cho Access rule

51

Hình 4.20 Chọn cách cài đặt

- Chọn giao thức Http và Https và next

52 - Chọn giao thức Internal và local Host và next để tiếp tục.

Hình 4.22 Chọn giao thức

- Chọn External  next  next  và Finish  chọn Apply  Done

Hình 4.23 kết thức cấu hình access rule

53

4.3.2 DNS Query.

- Cấu hình thực hiện cho phép mạng nội bộ ra ngoài internet để thực hiện phân giải tên miền.

Hình 4.24 Tạo Access rule cấu hình DNS Query

54

Hình 4.26 Chọn giao thức

Hình 4.27 Hoàn thành quá trình cấu hình

55 - Web Caching là chức năng cho phép lưu trữ nội dung các trang Web đã truy cập trên máy TMG nhằm mục đích tăng tốc độ truy cập cho những lần truy cập sau.

- Để kiểm tra chức năng Web Caching đối với các trang Web bên trong nội bộ,

Một phần của tài liệu Báo cáo thực tập nghiên cứu công nghệ firewall, triển khai ứng dụng TMG 2010 cho doanh nghiệp (Trang 33)

Tải bản đầy đủ (PDF)

(98 trang)