- Khi nhắc đến tường lửa dành cho doanh nghiệp, Hầu hết ai có chút kiến thức về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft, Tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006. Phiên bản tiếp theo của hệ thống tường lửa này được gọi với một tên khác: Forefront Threat Management Gateway
- Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên có thêm nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá trình đảm nhiệm chức năng tường lửa của mình.
- Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010.
3.4.2 Quá trình phát triển của Forefront TMG 2010.
- Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển sau:
- 1/1997 - Microsoft Proxy Server v1.0 (Catapult)
- 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000)
- 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004)
28 - 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006)
- 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010)
Hình 3.2. Sơ đồ phát triển của Forefront TMG 2010
3.5 Các tính năng của TMG 2010.
3.5.1 Các chức năng chính của TMG 2010.
- Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra ngoài Internet và ngược lại.
- Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi truy cập web.
- Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ e-mail độc hại.
- Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng các dịch vụ và tài nguyên mạng trong nội bộ.
- Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên ngoài.
29
3.5.2 Các tính năng nổi bật của TMG 2010.
Hình 3.3 Các chức năng chính của TMG 2010.
- Enhanced Voice over IP: cho phép kết nối và sử dụng VoIP thông qua TMG - ISP Link Redundancy: hỗ trợ load Balancing và Failover cho nhiều đường truyền Internet.
- Web Anti-Malware: quét virus, phần mềm độc hại và các mối đe dọa khác khi truy cập web.
- URL-Filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có
- HTTPS Insdection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate
- E-Mail Protection Subscription service: tích hợp với Forefront Protection 2010 For Exchange Server và Exchange Edge Transport Server để kiểm soát viruses, malware, spam Email trong hệ thống Mail Exchange
30 - Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật.
- Network Access Protection (NAP) Integation: tích hợp với NAP để kiểm tra tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN.
- Security Socket Tunneling Protocol (SSTP) Integration: hỗ trợ VPN-SSTP. - Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ điều hành Window Server 2008 64 bit. Đây là một hạn chế của TMG. Vì khác với Windows Server 2003. Windows Server 2008 rất kén máy chủ. Nếu như Server 2003 ta hoàn toàn có thể lấy một máy tính thường, cấu hình tương đối là có thể cài đặt được, hỗ trợ Driver khá nhiều, thì đối với Server 2008 rất khó để thực hiện việc tương tự. - Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng gỡ rối Troubleshooting, Chức năng này giúp cho người dùng không chuyên cũng có thể quản trị dễ dàng TMG, Khi gặp bất cứ trục trặc nào chỉ cần am hiểu chút tiếng Anh và Tiếng anh chuyên ngành là có thể tự gỡ rối, sửa chữa sự cố phát sinh mà không cần đến IT chuyên nghiệp can thiệp.
3.6 Giao diện của TMG 2010.
- Rule Base Search – Tính năng tìm kiếm mới có trong giao diện quản lý TMG sẽ làm cho việc quản lý một số lượng lớn các rule trở nên đơn giản hơn. Nếu muốn hiển thị bất cứ rule nào đang sử dụng giao thức DNS, bạn chỉ cần nhập cụm từ “DNS” vào hộp tìm kiếm và kích biểu tượng chiếc kính lúp để thực thi tìm kiếm.
31
Hình 3.4 Giao diện hiển thị các rule đang sử dụng giao thức DNS
- Có một số cách để xây dựng các truy vấn. Bạn có thể chọn tên, các cặp name: value và cặp property: value. Để có thêm thông tin, bạn có thể kích liên kết Examples bên cạnh hộp tìm kiếm.
- Web Access Policy – Nút Web Access Policy mới trong cây giao diện hiển thị một khung nhìn hợp nhất các rule truy cập web đã được cấu hình trong TMG.
32 - Ở đây bạn có thể tạo các tuyến tĩnh (network topology routes). Không cần kết nối đến mỗi TMG firewall một cách riêng rẽ và nhập vào lệnh route từ dòng lệnh. Để thêm vào một tuyến tĩnh, kích liên kết Create Network Topology Route trong panel nhiệm vụ.
Hình 3.6 Giao diện tạo một tuyến tĩnh
- Ở đây bạn sẽ được nhắc nhở cho việc cấu hình các thiết lập mạng và hệ thống, định nghĩa các tùy chọn triển khai. Nếu cần tạo những thay đổi cấu hình đáng kể cho hệ thống hoặc định nghĩa lại các tùy chọn triển khai, bạn có thể chạy wizard lần nữa bằng cách kích nút trên cùng trong cây giao diện sau đó chọn tab Tasks trong pane nhiệm vụ và kích liên kết Launch Getting Started Wizard.
33
Hình 3.7 Launch Getting Started Wizard trong cây giao diện
- Firewall Policy Grouping – Đây là một tính năng khác mà các quản trị viên với khối lượng lớn các rule phức tạp sẽ đánh giá cao giá trị của nó. Để tạo một nhóm rule, chọn một hoặc nhiều rule nào đó, kích phải vào số rule đã chọn, chọn Create Group.
Hình 3.8 Giao diện tạo một nhóm Rule
3.7 Lý do chọn TMG thay vì ISA.
- Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát hành ISA Server 2006 cách đây gần sáu năm. ISA là một lợi thế tuyệt vời cho giải pháp tường lửa, proxy và máy chủ VPN, nhưng nó thiếu khả năng bảo vệ web tiên tiến và cần thiết để bảo vệ người dùng của chúng ta từ các cuộc tấn công trên
34 mạng Internet ngày nay. Với việc phát hành Forefront Threat Management Gateway (TMG) 2010, Microsoft đã cung cấp cho chúng ta một giải pháp bảo mật tích hợp cạnh đó có thể cung cấp mức độ bảo vệ các kỹ sư an ninh của chúng ta yêu cầu từ một cổng web hiện đại và an toàn. Với sự hỗ trợ chủ đạo cuối cùng của ISA server 2006 SP1 nhiều tổ chức bây giờ cuối cùng cũng đã bắt đầu xem xét việc nâng cấp cơ sở hạ tầng ISA hiện tại.
- TMG là ứng dụng 64-bit chạy trên hệ điều hành 64-bit mới nhất của Microsoft – Windows Server 2008 R2. Cũng được hỗ trợ cài đặt trên Windows Server 2008 SP2. Với sự hỗ trợ 64-bit TMG có thể giải quyết nhiều bộ nhớ hơn so với máy chủ ISA. Loại bỏ các bộ nhớ 4GB hạn chế đối với hệ điều hành 32-bit có nghĩa là TMG có thể mở rộng hiệu quả hơn và có thể xử lý lưu lượng truy cập nhiều hơn so với người tiền nhiệm của nó.
- TMG chạy trên Windows Server 2008 SP2 và R2
- Ngoài việc truy cập vào bộ nhớ nhiều hơn, Windows Server 2008/R2 bao gồm một tăng cường kết nối mạng mới có thể làm tăng sự ổn định và cung cấp các cải tiến hiệu suất đáng kể trong một số môi trường. Tăng cường kết nối mạng thế hệ Windows bao gồm các tính năng như Receive Window Auto Tuning, Receive- Side Scaling (RSS), Compound TCP và Explicit Congestion Notification (ECN). Cựu chiến binh ISA quản trị máy chủ biết rằng một số các tính năng này, bao gồm trong các mạng Scalable Networking Pack (SNP) và sau đó được bao gồm trong Service Pack 1 (SP1) choWindows Server 2003, mâu thuẫn với ISA và đã được vô hiệu hóa. Không còn là một vấn đề với TMG và Windows Server 2008/R2! Ngoài ra còn có cải tiến để phát hiện cổng chết và cải tiến trong việc phát hiện lỗ đen bộ định tuyến. Sự thay đổi quan trọng nhất trong tăng cường kết nối mạng mới là Windows Filtering Platform (WFP), cho phép TMG tích hợp với tăng cường kết nối mạng chặt chẽ nhiều hơn trong các phiên bản trước. Ngoài ra, các đặc điểm kỹ thuật mới NDIS cho phép các trình điều khiển tường lửa TMG để lọc lưu lượng truy
35 cập ở tầng hai và cung cấp hỗ trợ VLAN và NIC. Bạn có thể đọc thêm về vô số
những thay đổi và cải tiến tăng cường
mạng Windows 2008/R2.Windows 2008/R2 máy chủ được đánh giá cao hơn, làm cho hiệu suất giám sát và xử lý sự cố dễ dàng hơn nhiều ở đây.
- Bảo vệ Web nâng cao
- Giống như người tiền nhiệm của nó, TMG là một hệ thống phòng thủ vành đai nhiều lớp ngoài ra còn cung cấp truy cập từ xa. Đa số các tính năng mới trong TMG được tập trung vào kịch bản proxyforward (gửi đi), tuy nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài nguyên trên Internet, TMG hiện nay bao gồm các khả năng sau đây web bảo vệ tiên tiến: - URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn truy cập đến các trang web được cho là độc hại hoặc không được phép bởi các chính sách sử dụng của công ty.
- Web antimalware: Với chức năng quét virus và phần mềm độc hại được tích hợp, TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin. Người dùng được bảo vệ khi tải tập tin.
- Network Inspection System (NIS): NIS là một phát hiện xâm nhập mới với tính năng hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên giao thức. Với chữ ký được phát triển bởi Microsoft Malware Protection Center (MMPC) và phát hành đồng thời với các cập nhật bảo mật vào ngày Thứ Ba tuần thứ 2 hàng tháng (bản vá thứ ba), NIS được thiết kế để ngăn chặn các lỗ hổng trong phần mềm Microsoft được khai thác từ xa.
- HTTPS Inspection: HTTPS từ lâu đã được gọi là “giao thức vượt qua tường lửa”. HTTPS cung cấp mã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhất gần như vô dụng. TMG có khả năng chấm dứt và giải mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập đầy đủ lớp sẽ diễn ra.
36 - Bảo vệ E-Mail nâng cao
- Để cung cấp bảo vệ e-mail mở rộng, TMG có thể tích hợp mật thiết với môi trường Exchange 2007/2010 hiện tại của bạn. TMG hỗ trợ trong việc cài đặt vai trò Exchange edge transport trực tiếp trên tường lửa TMG, cũng như bảo vệ Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ chống phần mềm độc hại. Những lợi thế của kịch bản triển khai này là củng cố hệ thống cạnh và chính sách e-mail đơn giản hóa quản lý bằng cách sử dụng giao diện điều khiển quản lý TMG. Sử dụng một mảng nhóm tường lửa TMG cũng cung cấp cân bằng tải và khả năng chịu lỗi cho việc chuyển tiếp mail an toàn.
- Cải tiến VPN
- TMG hiện nay bao gồm hỗ trợ cho Secure Socket Tunneling Protocol (SSTP). SSTP sử dụng SSL để cung cấp an toàn, thông tin liên lạc mã hóa giữa máy khách đang chạy Windows Vista SP1 hoặcWindows 7 và tường lửa TMG. SSTP là tường lửa rất thân thiện, bằng cách sử dụng cổng TCP phổ biến 443 mà rất nhiều kinh nghiệm truy cập VPN từ xa và cung cấp truy cập rộng nhiều hơn nữa để các tài nguyên của công ty. Ngoài ra, TMG cũng hỗ trợ kết hợp Network Access Protection (NAP). Điều này cho phép quản trị viên TMG tận dụng cơ sở hạ tầng NAP hiện có của họ để thực thi chính sách cấu hình thiết bị đầu cuối cho client truy cập từ xa. - Cải tiến Log và Report
- Cơ sở hạ tầng log trong TMG được cải thiện rất nhiều so với các phiên bản trước của máy chủ ISA.TMG tại cài đặt SQL Server 2008 Express theo mặc định, đó là tốt hơn đáng kể so với MSDE cung cấp trên ISA. Đối với khả năng phục hồi thêm, TMG có khả năng hàng đợi dữ liệu được ghi vào đĩa. Với truy vấn log, TMG có thể tiếp tục logp và yêu cầu dịch vụ ngay cả khi cơ sở dữ liệu đang offiline vì lý do nào. Quản trị viên ISA có kinh nghiệm quản lý môi trường rất bận rộn nhận thức được những gì sẽ xảy ra khi ISA không thể log vào cơ sở dữ liệu các dịch vụ tường lửa sẽ tắt và lưu lượng truy cập tất cả sẽ bị chặn. Những ngày trên!
37 Báo cáo đã được cải thiện là tốt, với TMG bây giờ sử dụng SQLServer Reporting Services (SRSS) để tạo ra các bản báo cáo. Việc xem xét tổng thể và cảm nhận của báo cáo là tốt hơn nhiều quá.
- Triển khai tùy chọn mới
- TMG dễ dàng hơn nhiều để thực hiện nhờ vào việc hỗ trợ cho một kịch bản triển khai mới – mảng độc lập. Bây giờ bạn có thể cấu hình một mảng của phiên bản tường lửa TMG doanh nghiệp mà không cần phải cài đặt và cấu hình một máy chủ quản lý doanh nghiệp (EMS – trước đây gọi là máy chủ lưu trữ cấu hình, hoặc CSS). Ngoài ra, cả hai phiên bản Standard và Enterprise của TMG bây giờ sử dụngDirectory Services Active Directory Lightweight (AD LDS) cho việc lưu trữ cấu hình Local. Ngược lại, ISA máy chủ sử dụng Active Directory Application Mode (ADAM) cho phiên bản Enterprise vàWindows registry cho phiên bản Standard. Sự thay đổi này làm cho nó có thể cho một tường lửa TMG để được tham gia vào một mảng sau khi TMG được cài đặt. Nó cũng có thể chia rẻ một mảng mà không cần phải gỡ bỏ cài đặt TMG.
- Cải tiến Mạng bổ sung
- Ngoài những cải tiến để tăng cường kết nối mạng của hệ thống hệ điều hành cơ bản được nêu trước đó, TMG hiện nay bao gồm hỗ trợ cho hai nhà cung cấp dịch vụ Internet khác nhau trong một kịch bản cân bằng tải hoặc chuyển đổi dự phòng. Thay đổi tới NAT trong TMG giờ đây cho phép người quản trị cấu hình chính sách NAT chi tiết hơn, bao gồm cả việc thiết lập một quy tắc NAT. Gần đây nhất, TMGService Pack 2 (SP2) cung cấp khả năng để tận dụng việc xác thực Kerberos cho các client web proxy đã được cấu hình để sử dụng Network Load Balancing (NLB) địa chỉ IP ảo (virtual IP address – VIP).
- Nhưng hãy đợi vẫn còn có nhiều hơn nữa!
- Như với bất kỳ việc nâng cấp sản phẩm chính nào có nhiều cải tiến nhỏ hơn mà có thể không chú ý được. TMG là không có ngoại lệ. Nhiều trong số những tính
38 năng mới và khả năng sẽ làm cho cuộc sống của quản trị tường lửa ISA dễ dàng hơn nhiều. Chúng bao gồm:
- SIP filter: Bảo vệ lưu lượng Voice over IP (VoIP) là dễ dàng hơn nhiều với việc bổ sung củaSession Initiation Protocol (SIP) bộ lọc trong TMG.
- TFTP filter: Một TFTP mới làm đơn giản hoá quá trình cung cấp truy cập an toàn tới các máy chủ TFTP.
- Cải thiện trang thông báo lỗi: Với các gói dịch vụ mới nhất, xem và cảm nhận của trang báo lỗi được cải thiện nhiều. Chúng cũng dễ dàng tùy biến.
- Kết hợp với SCOM: TMG bao gồm việc hỗ trợ tích hợp với System