Tải bản đầy đủ (.docx) (56 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

TỔNG QUAN VỀ GIẢI PHÁP ISA, CÀI ĐẶT FOREFRONT TMG SEVER VÀ CẤU HÌNH MỘT SỐ CHÍNH SÁCH BẢO MẬT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.59 MB, 56 trang )

MỤC LỤC
LỜI NÓI ĐẦU.............................................................................................................
CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP ISA....................................................3
1.1. Tổng quan về ISA Sever..........................................................................................3
1.1.1 Khía cạnh mạng.................................................................................................3
1.1.2. Khía cạnh Sever................................................................................................4
1.2. ISA Server Firewall.................................................................................................7
1.2.1.Điều khiển các yêu cầu ra ngoài........................................................................7
1.2.2. Điều khiển các yêu cầu đến..............................................................................8
1.2.3. Lọc các IP packet..............................................................................................8
1.2.4. Xâm nhập và báo động.....................................................................................9
1.2.5. SecureNAT (Secure Network Address Translation)........................................10
1.3. ISA Server cache...................................................................................................11
1.3.1. Cách thức hoạt động của ISA Server cache....................................................11
1.3.2. Cơ chế cache của ISA Server..........................................................................12
1.4. Các luật quản lý chính sách truy cập.....................................................................13
1.4.1. Lọc IP Packet..................................................................................................13
1.4.2. Các luật về băng thông...................................................................................15
1.4.3. Các luật chính sách quảng bá.........................................................................15
1.5. Các tính năng nổi trội của Forefront TMG 2010...................................................16

CHƯƠNG 2: GIẢI PHÁP FOREFRONT TMG (PHÁT TRIỂN TỪ ISA)............20
2.1. Sơ đồ tổng quan.....................................................................................................20
2.2. Tổng quan về Firewall...........................................................................................20
2.2.1. Khái niệm Firewall.........................................................................................20
2.2.2. Chức năng chính.............................................................................................21
2.2.3. Nguyên lý hoạt động của Firewall..................................................................21
2.2.4. Ưu nhược điểm của Firewall..........................................................................22
2.2.5. Những hạn chế của Firewall...........................................................................23
2.3. Giới thiệu Windown Server 2008..........................................................................23
2.4. Giới thiệu về Forefront TMG 2010.......................................................................25




2.4.1. Lịch sử về Forefront TMG 2010.....................................................................25
2.4.2. Quá trình phát triển của Forefront TMG 2010................................................25
2.4.3. Các tính năng của TMG 2010.........................................................................26
2.4.4. Giao diện của TMG 2010...............................................................................28

CHƯƠNG 3: CÀI ĐẶT FOREFRONT TMG SEVER VÀ CẤU HÌNH MỘT SỐ
CHÍNH SÁCH BẢO MẬT.....................................................................................31
3.1. Yêu cầu hệ thống...................................................................................................31
3.1.1. Yêu cầu phần cứng.........................................................................................31
3.1.2. Yêu cầu phần mềm.........................................................................................32
3.2. Cài đặt TMG 2010.................................................................................................32
3.3. Cấu hình 1 số tính năng của TMG để quản lý nhân viên.......................................40
3.3.1. Web acess.......................................................................................................40
3.3.2. DNS Query.....................................................................................................43
3.3.4. Malware Inspection........................................................................................46
3.3.5. HTTP Filter....................................................................................................50
3.3.6. INTRUSION DETECTION...........................................................................53


DANH MỤC HÌNH ẢN
Hình 1.1. Kiến trúc của ISA Sever trên khung cảnh mạng........................................1
Hình 1.2. Kiến trúc chuỗi ISA Sever.........................................................................3
Hình 2.1. Sơ đồ tổng quan hệ thống mạng sử dụng TMG 2010..............................14
Hình 2.2. Sơ đồ phát triển của Forefront TMG 2010..............................................18
Hình 2.3. Các chức năng chính của TMG 2010......................................................19
Hình 2.4. Giao diện hiển thị các rule đang sử dụng giao thức DNS.......................20
Hình 2.5. Giao diện cấu hình truy cập Web.............................................................20
Hình 2.6. Giao diện tạo một tuyến tĩnh...................................................................21

Hình 2.7. Launch Getting Started Wizard trong cây giao diện...............................21
Hình 2.8. Giao diện tạo một nhóm Rule..................................................................22
Hình 3.1. Tùy chọn vào Run Preparation Tool........................................................24
Hình 3.2. Tiến trình cài đặt......................................................................................25
Hình 3.3. Hoàn thành cài đặt Run Preparation Tool................................................25
Hình 3.4. Cài đặt Run Intallation Winzard..............................................................26
Hình 3.5. Tiến trình cài đặt Run Intallation Winzard..............................................26
Hình 3.6. Điền thông tin..........................................................................................27
Hình 3.7. Chọn phương thức cài đặt........................................................................27
Hình 3.8. Tiến trình cài đặt......................................................................................28
Hình 3.9. Chọn card mạng ra trong mạng lan và chọn địa chỉ cấp ra.....................28
Hình 3.10. Tiến trình cài đặt Run Intallation Winzard............................................29
Hình 3.11. Chọn card confgure network setting cấu hình.......................................29
Hình 3.12. Địa chỉ card ra lan Inter.........................................................................30
Hình 3.13. Địa chỉ card ra internet: Exter...............................................................30
Hình 3.14. Chọn môi trường cài đặt domain hay workgroup..................................31
Hình 3.15. Tắt chế độ update...................................................................................31
Hình 3.16. Hoàn thành cài đặt Getting starter winzard...........................................32
Hình 3.17. Giao diện mới cài đặt xong TMG..........................................................32


Hình 3.18. Tạo Access rule......................................................................................33
Hình 3.19. Đặt tên cho Access rule.........................................................................33
Hình 3.20. Chọn cách cài đặt...................................................................................34
Hình 3.21. Chọn giao thức HTTP và HTTPS..........................................................34
Hình 3.22. Chọn giao thức......................................................................................35
Hình 3.23. kết thức cấu hình access rule.................................................................35
Hình 3.24. Tạo Access rule cấu hình DNS Query...................................................36
Hình 3.25. Đặt tên Access rule................................................................................36
Hình 3.26. Chọn giao thức......................................................................................37

Hình 3.27. Hoàn thành quá trình cấu hình...............................................................37
Hình 3.39 kiểm tra việc cập nhật cho chức năng Malware Inspection....................38
Hình 3.40. Giao diện Launch Getting Started Wizrd.............................................39
Hình 3.41. Bật tính Năng updates...........................................................................39
Hình 3.42. Giao diện cấu hình................................................................................40
Hình 3.43. Check for and install New Definitions và chờ đợi quá trình cập nhật. .40
Hình 3.44. Check Inspect content downloaded from Web servers to clients..........41
Hình 3.45. kiểm tra download trang Http................................................................41
Hình 3.46. Thông báo khi nhấn Downloal.............................................................42
Hình 3.47. Chọn Configure HTTP cấu hình cấm download file chỉ định...............43
Hình 3.48 Chọn các đuôi chỉ định cấm download..................................................43
Hình 3.49. Kiểm tra thử download.........................................................................44
Hình 3.50. Cấm post là đăng nhập vào các diễn đàn forum...................................45
Hình 3.51. kiểm thử đăng nhập vào Forum............................................................45
Hình 3.52. Bật chức năng cảnh báo.........................................................................46
Hình 3.53. Chọn kiểu tấn công port scan...............................................................46
Hình 3.55. Chọn chức năng thông báo....................................................................47
Hình 3.56. Chọn Intrution Detected........................................................................47
Hình 3.57. Chọn hình thức cảnh báo.......................................................................48
Hình 3.58. Cấu hình Superscan...............................................................................49


Hình 3.59. Tiến hành Scan......................................................................................50
Hình 3.60. Thông báo xâm nhập bên máy TMG.....................................................50


LỜI NÓI ĐẦU
Cùng với những nhu cầu về bảo mật thông tin, nhiều ứng dụng bảo mật được triển
khai với nhiều hình thức nhằm giữ toàn vẹn thông tin được ra đời. Ví dụ: Cisco – bảo vệ
mạng thông qua hạ tầng phần cứng kết nối mạng. ISA Sever - ứng dụng bảo vệ mạng

theo mô hình phân lớp mạng, lọc gói tin,...được cung cấp bởi hãng Microsoft.
Tường lửa ISA đã có lịch sử phát triển khá lâu, các phiên bản dần được nâng cấp
lên nên theo thời gian và tiến trình phát triển.
Năm 2010, phiên bản kế tiếp của tường lửa ISA không chỉ có các tính năng và chức năng
mới đáng chú ý, nó còn mang một cái tên mới – tên ISA đã được thay bằng TMG
- Threat Management Gateway 2010. Đây là một thay đổi lớn về mặt quan điểm và là
một tín hiệu tốt về tính hiệu quả trong tiến trình phát triển bảo mật của Microsoft,
Microsoft đã hoàn toàn thay đổi cách tạo phần mềm và tập trung vào vấn đề bảo mật
trong mọi giai đoạn phát triển.
Thách thức đối với các thiết lập tường lửa TMG mới là học những vấn đề cơ bản. Chúng
ta đã trải qua hàng thập kỷ làm việc với ISA và hầu hết trong mọi quản trị viên đều hiểu
rất sâu về các chi tiết kỹ thuật cũng như các kịch bản triển khai phức tạp của nó. Tuy
nhiên có rất nhiều người gặp phải vấn đề khi truy cập cũng như cách làm việc của tường
lửa TMG. Rất nhiều quản trị viên TMG mới đã tập trung vào tìm hiểu cách điều khiển
truy cập gửi vào (cho ví dụ, để điều khiển sự truy cập đến Exchange và SharePoint). Và
lúc này họ muốn biết cách điều khiển truy cập các kết nối gửi ra. Đó là lý do mà chúng
tôi nghiên cứu về đề tài “Cài đặt Forefront Threat Management Sever và cấu hình một số
chính sách bảo mật”. Bài báo cáo gồm có :
Chương 1: Tổng quan về giải pháp ISA.
Chương 2: Giải pháp Forefront TMG (phát triển từ ISA).
Chương 3: Cài đặt Forefront TMG server và cấu hình một số chính sách bảo mật.
Trong quá trình làm báo cáo chắc chắn không tránh khỏi thiếu sót. Mong các thầy
cô và các bạn đóng góp ý kiến để báo cáo được hoàn thiện hơn. Xin chân thành cảm ơn!


CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP ISA
1.1. Tổng quan về ISA Sever
Internet Security and Acceleration (ISA) Sever đưa ra một giải pháp kết nối chứa
cả firewall và cache. ISA Sever bảo vệ mạng, cho phép cài đặt một chiến lược bảo vệ
nghiệp vụ bằng cách cấu hình một tập hợp lớn của những rule, chỉ ra những site, giao

thức, và nội dung có thể được truyền qua máy tính ISA Sever. ISA Sever giám sát các yêu
cầu và trả lời giữa các máy tính trên Internet và các máy khách nội bộ điều khiển ai có thể
truy nhập máy tính nào trên mạng phối hợp. ISA Sever cũng điều khiển máy tính nào trên
Internet có thể truy nhập bởi các Client nội bộ
1.1.1 Khía cạnh mạng
Hình dưới đây là kiến trúc của ISA Server trên khung cảnh mạng

Hình 1.1. Kiến trúc của ISA Sever trên khung cảnh mạng
ISA Sever được cấu hình điển hình trên máy tính với hai giao diện mạng, một nối
trực tiếp với mạng nội bộ, một nối với Internet. Các giao diện này có thể thích nghi với
nhiều kiểu giao thức. Trên mạng nội bộ (LAN), ví dụ: Ethernet, Token Rin, hay ARCNet
7


là nói chung đều có thể hỗ trợ TCP/IP hoặc NetBEUI. Một kết nối Internet có thể dùng
một modem, ISDN, hoặc một giao diện mạng gắn với một router có nối với Internet.
Tại trung tâm của ISA Sever là máy tính của quản trị viên. Máy tính của quản trị
viên có các chức năng của ISA Sever, dịch vụ thư mục của MS Windows 2000, và đối
tượng COM ISA. Quản trị cũng có thể quản lý các client từ xa dùng cơ chế quản trị của
ISA hoặc dùng các đoạn mã script.
Các tác vụ của quản trị viên gồm có thiết lập các luật (rule) và chính sách (policy),
và cấu hình bộ nhớ cache. Các luật là để xác định cách mà các client giao tiếp Internet và
kiểu thông tin được cho phép. Các luật còn xác định cách mà server trong mạng nội bộ
của ta giao tiếp với client trên Internet. Một điều khoản bao gồm các luật cho các site và
nội dung, luật cho giao thức, luật công khai Web, và các bộ lọc các IP packet.
Một chính sách có thể được áp dụng tại một mức chuỗi hoặc mức xí nghiệp. Xí
nghiệp bao gồm tất cả các chuỗi mạng. Các chiến lược mức xí nghiệp có thể được áp
dụng cho tất cả các chuỗi của xí nghiệp. Thêm nữa, một chính sách mức chuỗi có thể áp
dụng cho một hoặc nhiều chuỗi.
Bốn ý chính có thẻ thấy trong khung cảnh mạng:

- Quản trị viên quản trị ISA Sever tại máy tính từ xa.
- Chuỗi các ISA Sever, bao gồm ít nhất một sever.
- Active Directory, nằm tại một máy tính riêng biệt. Dịch vụ thư mục chủ động lưu
thông tin về các đối tượng trên mạng, bao gồm người dùng và máy tính, enterprise và
miền – chuỗi các thông tin đăng ký liên quan đến ISA và các mở rộng của nó. Active
Directory phân tán các thông tin trên toàn mạng. Cơ chế đăng ký trên máy ISA có thể
thực thi các chức năng này khi không dùng Active Directory.
- Các client và server dùng các khả năng của ISA Sever là firewall và cache.
Chúng ta có thể lập trình cho các tác vụ quản trị ISA tự động bằng cách truy nhập
vào các đối tượng ISA COM.
1.1.2. Khía cạnh Sever.
ISA Sever hoạt động tại nhiều tăng truyền thông khác nhau để bảo vệ mạng phối
ghép. Tại tầng xử lý packet, ISA Sever thực hiện lọc packet. Khi cơ chế lọc được cho
phép, ISA Sever có thể điều khiển một cách thống kê các dữ liệu ở giao diện ngoài, đánh
giá tải đến trước khi tiếp cận tới tài nguyên. Nếu dữ liệu được cho phép vượt qua tầng lọc
packet này, nó sẽ đến với dịch vụ firewall và web proxy, nơi mà các luật ISA Sever được
xử lý để xác định yêu cầu phục vụ.
Hình dưới đây cho thấy chi tiết về kiến trúc của chuỗi ISA Server.

8


Hình 1.2. Kiến trúc chuỗi ISA Sever
ISA Sever có thể được dùng thành một chuỗi, để cho phép cân bằng tải và chịu lỗi.
Tuy nhiên chúng ta sẽ bàn một chút về kiến trức của ISA Sever đơn. Các bộ phận của
sever gồm có:
- Bộ lọc IP packet.
- SecureNat, Một chức năng của ISA Sever thực hiện công việc dịch địa chỉ mạng
thay cho hàm NAT của Windows 2000
- Firewall, bao gồm dịch vụ Web proxy, dịch vụ firewall và các bộ lọc ứng dụng:

+ Dịch vụ Web proxy, bao gồm các bộ lọc Web và cache.
+ Dịch vụ Firewall, xử lý các yêu cầu kết nối bằng dịch vụ Firewall và các
SecureNAT client. Các yêu cầu http được phát tới dịch vụ Web proxy bằng bộ lọc http
redirector.
+ Các bộ lọc ứng dụng, bao gồm bộ lọc http redirector, bộ lọc này định
hướng các yêu cầu http tới dịch vụ Web proxy, và các bộ lọc giao thức khác với ISA
Sever. Các bộ lọc của các hãng thứ ba có thể được phát triển cho ISA firewall bằng cách
dùng các giao diện bộ lọc ứng dụng.
ISA Sever cũng dùng bộ điều khiển băng thông của QoS trong Windows 2000.
QoS là một tập hợp các thành phần quản lý việc sử dụng băng thông cho mạng. ISA
Sever dùng QoS để kết nối theo các luật được thiết lập bởi quản trị viên ISA.
9


Có thể thấy trên hình vẽ ISA Sever bảo vệ ba loại client:
- Client ISA Firewall là các máy tính được cài đặt phần mềm ISA Firewall. Các
yêu cầu từ các ISA Firewall client được gửi tới dịch vụ ISA Firewall trên máy ISA Sever
để xác định truy nhập nào là được phép. Kết quả là, các yêu cầu có thể được lọc bởi các
bộ lọc ứng dụng và bởi các add-in khác. Nếu các client ISA Firewall client yêu cầu một
đối tượng http, bộ lọc http redirector sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy. Dịch
vụ Web proxy cũng có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng
từ ISA Sever cache.
- SecureNAT client là các máy tính không cài ISA Firewall client software. Các
yêu cầu từ SecureNAT là được gửi trước hết tới NAT driver, giúp cho việc chuyển từ IP
toàn cầu sang IP nội bộ của SecureNAT client. Các yêu cầu của client sau đó được gửi tới
dịch vụ ISA Firewall, để xác định truy cập nào là được phép. Cuối cùng, yêu cầu có thể
được lọc bởi các bộ lọc ứng dụng và các add-in khác. Nếu các SecureNAT client yêu cầu
một đối tượng http, bộ lọc http redirectory sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy.
Dịch vụ Web proxy có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng
từ ISA Sever cache.

- Các máy khách Web proxy là các ứng dụng duyệt bất kỳ tương thích với chuẩn
của CERN. ISA chuyển tiếp các yêu cầu từ Web proxy client cho các dịch vụ Web proxy
trên máy tính ISA Sever để xác định truy cập nào là được phép. Dịch vụ Web proxy cũng
có thể đệm cho các đối tượng được yêu cầu hoặc phục vụ các đối tượng từ ISA Server
cache.
Cần chú ý rằng Firewall client và các SecureNAT client là không tồn tại đồng thời.
Tuy nhiên, các máy khách ISA Firewall và các máy khách SecureNAT đều có thể là các
máy khách Web proxy. Nếu ứng dụng Web trên máy tính là được cấu hình mục địch để
dùng ISA Sever, thì tất cả các Web request (HTTP, FTP, HTTP-S và Gopher) được gửi
trực tiếp tới dịch vụ Web proxy. Tất cả các yêu cầu khác được xử lý bởi dịch vụ Firewall.
1.2. ISA Server Firewall
1.2.1.Điều khiển các yêu cầu ra ngoài
Một trong những chức năng chính của ISA Server là kết nối mạng nội bộ với
Internet trong khi vẫn bảo vệ mạng nội bộ khỏi những nội dung có hại. Để đơn giản hoá,
ISA Server sử dụng các chính sách truy nhập, cùng với các luật dẫn đường, xác đinh cách
client truy nhập vào Internet.
Khi ISA Server xử lý mọt yêu cầu ra ngoài, nó kiểm tra các luật dẫn đường, luật
cho nội dung và site, và các luật giao thức để xác định xem yêu cầu có được phép không.
Một yêu cầu được cho phép chỉ nếu cả luật về giao thức và nội dung cho phép và không
có luật nào khác chủ đích từ chối request này.
Một vài luật có thể được cấu hình để áp dụng cho các client nhất định. Trong
trường hợp này, các client có thể được xác định hoặc bằng địa chỉ IP hoặc bằng tên người

10


dùng. ISA Server xử lý các yêu cầu khác nhau, phụ thuộc cách mà client yêu cầu đối
tượng và cách cấu hình server.
Đối với một vài yêu cầu gửi đi, các luật được xử lý theo thứ tự như sau:
- Các luật giao thức. Trước hết ISA Server kiểm tra luật giao thức. ISA Server chỉ

cho phép yêu cầu nếu luật giao thức cho phép và không một luật nào khác từ chối.
- Luật cho nội dung và site. Cơ chế cũng như trên
- Các bộ lọc IP packet, kiểm tra xem cơ chế lọc có chặn các packet nhất định hay
không, xác đinh xem yêu cầu có bị từ chối hay không.
- Các luật dẫn đường hoặc cấu hình chuỗi Firewall, nếu một Web proxy client yêu
cầu đối tượng, để xác định cách mà yêu cầu được phục vụ.
1.2.2. Điều khiển các yêu cầu đến
ISA Server cũng có thể tạo ra những chính sách để bảo vê an toàn cho các server
nội bộ, bao gồm có các bộ lọc IP packet, các luật công khai Web, hoặc các luật công khai
server, cùng với các luật dẫn đường, xác định cách mà server nội bộ được công khai ra.
Các luật công khai server của ISA Server:
- Luật công khai Web, công khai nội dung Web server.
- Luật công khai server, công khai nội dung trên tất cả các server khác trong mạng
nội bộ.
- Lọc IP packet để công khai nội dung trên các server lên mạng vành đai
(perimeter network hay screened subnet).
Khi một ISA Server xử lý một yêu cầu từ một client bên ngoài, nó kiểm tra các bộ
lọc IP packet, các luật công khai, và các luật dẫn đường để xác định xem yêu cầu có được
cho phép không và server nội bộ nào nên phục vụ yêu cầu này. Thứ tự xử lý sẽ như sau:
- Các bộ lọc IP packet.
- Các luật công khai Web.
- Các luật dẫn đường.
1.2.3. Lọc các IP packet
Lọc IP packet là chặn và đánh giá các packet trước khi chúng đến tầng cao hơn về
giao thức và ứng dụng, bao gồm moi IP packet, gồm có TCP packet, UDP packet, v.v…
Các bộ lọc có thể được cấu hình để chỉ các packet nhất đinh mới có thể được truyền tới
ISA Server. Điều này làm tăng tính an toàn cho mạng. Các bộ lọc có thể chặn các packet
đến từ các Internet host nhất định và có thể loại bỏ cãc packet liên quan đến mục đích tấn
công. Ngoài ra, cũng có thể chặn các packet dùng trong mạng nội bộ, như Web proxy,
Firewall, WWW, hay dịch vụ SMTP.


11


Với các bộ lọc IP packet, ta có thể chặn hay hoặc cho phép hoặc ngăn các packet
dùng cho các máy tính nhất định trên mạng phối ghép, có thể cấu hình hai loại bộ lọc IP
packet tĩnh: các bộ lọc cho phép và các bộ lọc chặn.
Các packet không được chặn được truyền tới các dịch vụ ISA tại mức ứng dụng,
khi đó ta có thể tạo các policy chỉ ra thông tin nào là được cho phép tới các dịch vụ của
Web proxy và ISA Firewall. Các cổng là được mở để truyền và nhận, và sau đó được
đóng ngay lập tức sau khi một trong những dịch vụ ISA kết thúc kết nối.
ISA Server còn có khả năng lọc packet mang tính động, hỗ trợ lọc cho cả IP packet
đến và đi. ISA Server có thể được cấu hình các luật và chính sách truy nhập, mở cổng tự
động chỉ khi cho phép, đóng cổng khi giao tiếp kết thúc. Cách tiếp cận này làm giảm số
cổng vào ra và cung cấp một mức an toàn cao hơn cho mạng.
Đối với nhiều giao thức ứng dụng, như là xử lý luồng phương tiện, lọc động đem
lại phương thức an toàn nhất để xử lý các cổng cấp phát động.
1.2.4. Xâm nhập và báo động
ISA Server có các cơ chế kiểm tra xâm nhập, xác định khi nào mạng bị tấn công,
và thực thi một chuỗi các hành động được lập sãn trong trường hợp đó.
Để dò tìm những thông tin xâm nhập, ISA Server so sánh tải và danh sách các
thông tin đầu vào liên quan đến các phương thức tấn công phổ biến. Cơ chế báo động sẽ
được kích hoạt khi có các hoạt động nghi ngờ, bao gồm nhiều hành động đã được định
sẵn, gồm có kết thúc kết nối, kết thúc dịch vụ, phát email báo động, và ghi nhật ký lại.
ISA Server giám sát những kiểu tấn công sau:
- Tấn công quét mọi cổng
- Tấn công quét cổng đã liệt kê sẵn
- Tấn công quét kiểu IP-half
- Tấn công kiểu ping-of-death
- Tấn công bằn UDP bomb

- Tấn công tràn cửa sổ băng thông
1.2.5. SecureNAT (Secure Network Address Translation)
SecureNAT là một mở rộng của NAT driver trong MS Windows 2000. NAT thay
thế một địa chỉ IP toàn cầu, dùng trên Internet, với một địa chỉ IP cục bộ. Cơ chế này cho
phép nhiều host với các địa chỉ IP cục bộ có thể dùng chung một địa chỉ IP bên ngoài,
nhưng vẫn chịu sự quản lý của ISA Server.
Chức năng chính của SecureNAT của ISA Server là cung cấp một mức trong suốt
về địa chỉ cho các client trên mạng, dựa vào chuẩn IETF. ISA Server tăng cường chức
năng NAT mức thấp của Windows 2000 bằng việc cho phép điều khiển truy nhập cho
FTP, ICMP, H.323, và các giao thức PPTP. NAT cũng cho phép tái dẫn đường cho các
12


HTTP request, cho thích hợp với các cache cục bộ, như trong trường hợp của CERN
proxy.
Secure NAT cung cấp kết nối Internet cho nhiều máy tính dùng chung modem và
tài khoản dịch vụ Internet. SecureNAT để cho nhiều host kết nối thông qua một máy tính
có gateway nối với Internet. SecureNAT cho phép một kết nối quay số hoặc kết nối khác
tới mạng công cộng để phục vụ trên toàn mạng, cho phép truy nhập cả Internet và các
mạng ghép cho việc trao đổi từ xa và các mục đích khác. Mọi host trên mạng nội bộ dùng
chung một hoặc nhiều địa chỉ toàn cầu.
Tuy nhiên, phải chú ý rằng SecureNAT không làm việc với tất cả các giao thức,
như là giao thức của một số trò chơi nhất định và một số các giao thức hiếm.
Các hạn chế của NAT:
- Chỉ các chiến lược dựa vào IP (không dựa vào user) mới có thể được cài đặt.
- NAT chỉ làm việc với các giao thức xác định, không dùng một phần lớn các giao
thức khác mặc dù có nhúng IP trong gói.
- Đối với các SecureNAT client, tạo một luật cho phép truy nhập tới tất cả tải IP là
giống như cho phép truy nhập tới tất cả các giao thức được định nghĩa trong ISA Server.
Thực tế thì chúng không hẳn tương đương nhau.

1.3. ISA Server cache
ISA Server hỗ trợ cả cache tập trung và cache phân tán trên nhiều ISA Server host,
có các dạng dàn hàng (array), móc xích (chain) hoặc kết hợp cả hai.
1.3.1. Cách thức hoạt động của ISA Server cache
Như trên đã nói, dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệm
cho các đối tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache. Nếu yêu cầu nằm
ngoài khả năng của cache, ISA Server mới tìm một yêu cầu mới bắt đầu một yêu cầu mới
thay mặt client. Một khi Web server trả lời ISA Server, ISA Server sẽ lưu response cho
request gốc và gửi response cho phía client.
ISA Server hỗ trợ cơ chế forward caching, được dùng cho các yêu cầu gửi đi, và
reverse caching, dùng cho các yêu cầu đến. Các máy client trong cả forward caching và
reverse caching đều tận dụng cả loạt các tính năng của ISA Server.
ISA Server bao gồm một bộ lọc HTTP redirector, cho phép các máy khách
Firewall và SecureNAT lợi dụng được tính năng cache này. khi HTTP redirector được
cho phép, các request từ firewall và SecureNAT cũng có thể được lưu lại.
ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội dung
cache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không.
Đầu tiên, nếu yêu cầu người dùng là được phép, ISA Server sẽ kiểm tra đối tượng
có trong cache hay không. Nếu yêu cầu được tạo cho một dãy các máy tính ISA Server,
thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định nên kiểm
13


tra cache của server nào. Nếu đối tượng không ở trong cache, thì ISA Server sẽ kiểm tra
hoạt động của luật dẫn đường để xác định đường đi cho request. Nếu đối tượng nằm
trong cache, thì ISA Server sẽ thực hiện các bước sau:
- ISA Server kiểm tra xem đối tượng có hợp lệ không. Đối tượng được coi là
không hợp lệ nếu các điều kiện sau xảy ra :
+ TTL (time-to-live) được xác định từ nguồn đã hết.
+ TTL xác định trong nội dung cache đã hết.

+ TTL cấu hình cho đối tượng đã hết.
- Nếu đối tượng là hợp lệ, thì ISA Server sẽ kiểm tra luật dẫn đường. Nếu các
thuộc tính của cơ chế cache các luật dẫn đường được cấu hình để trả về một phiên bản
của đối tượng, thì ISA Server sẽ lấy ra đối tượng hợp lệ trong cache.
- Nếu luật dẫn đường được cấu hình để dẫn request, thì ISA Server sẽ xác định
xem có dẫn đường cho request đến server cấp trên hay không, hay đến Web server được
yêu cầu
- Nếu luật dẫn đường là được cấu hình để dẫn request đến Web server thì ISA
Server sẽ kiểm tra khả năng truy nhập của Web server đó.
- Nếu Web server không thể truy nhập được thì ISA Server sẽ kiểm tra xem server
có được cấu hình để trả về đối tượng hết hạn từ cache hay không. Nếu được thì đối tượng
sẽ được trả về cho người dùng
- Nếu Web server đáp ứng được, ISA Server sẽ xác định đối tượng có thể được
cache hay không và các thuộc tính cache của luật dẫn đường có được lưu response hay
không. Nếu có thì ISA Server sẽ lưu đối tượng và trả đối tượng về cho người dùng.
1.3.2. Cơ chế cache của ISA Server
Khi cấu hình một ổ đĩa cho việc cache, ISA Server tạo ra một file nội dụng trên ổ
đĩa đó với đuôi là .cdat.
Mỗi file nội dung cho cache tối đa là 10 GB. Ví dụ, nếu ta cấp phát 12 GB trên
một ổ đĩa nào đó, ISA Server sẽ tạo ra hai file, một file 10 GB và một file 2 GB.
Khi các đối tượng được cache, ISA Server sẽ thêm chúng vào file nội dung cache.
Nếu file nội dung quá đầy để lưu các đối tượng mới, ISA Server sẽ loại bỏ các đối tượng
cũ ra khỏi cache, bằng cách dùng công thức đánh giá “tuổi”, độ thường xuyên và cỡ của
đối tượng.
RAM Caching
Trong ISA Server, các trang được cache là được lưu tức thì trong bộ nhớ để client
truy nhập. Một cơ chế “ghi-lười” được dùng để ghi các trang ra đĩa. Kết quả là tăng khả
năng sẵn có trên cache của các trang. Không có cơ chế kiểm tra xem trang đã được cache
hay lưu lên đĩa hay chưa.
14



RAM Caching cho phép nâng cao hiệu năng cache. Nếu hệ thống dừng trả lời, các
đối tượng Web trong bộ nhớ chưa được ghi lên đĩa sẽ được lấy từ Internet.
1.4. Các luật quản lý chính sách truy cập
1.4.1. Lọc IP Packet.
Chức năng lọc gói tin của ISA Server cho phép chúng ta điều khiển khống chế
được luồng các gói tin IP (Internet Protocol) đến từ cũng như đi đến ISA Server . Khi
chúng ta kích hoạt chức năng lọc gói tin, tất cả các gói tin đi đến giao diện ngoài của ISA
Server sẽ bị ngăn lại và bỏ qua trừ khi chúng được phép đi qua. Chức năng này được thực
hiện cứng bởi bộ lọc gói tin IP, hoặc động bởi các chính sách truy cập hoặc các luật
quảng bá.
Thậm chí nếu chúng ta không kích hoạt bộ lọc gói tin, truyền thông giữa mạng cục
bộ của chúng ta và Internet cũng chỉ được phép nếu như chúng ta đặt cấu hình cho các
luật sao cho chúng cho phép truyền thông.
Trong phần lớn các trường hợp, tốt nhất là thực hiện mở các cổng mang tính động.
Như vậy, thông thường chúng ta nên tạo ra các chính sách quản lý truy cập để cho phép
các máy khách bên trong hệ thống mạng của chúng ta truy cập Internet hoặc các luật
quảng bá để cho phép các máy khách phía bên ngoài có thể truy cập các phần tử phục vụ
bên trong hệ thống của chúng ta. Điều này là do các bộ lọc gói tin mở các cổng không
mang tính tĩnh, trong khi đó các luật quản lý chính sách truy cập và các luật quảng bá mở
các cổng mang tính đáp ứng động(khi có một yêu cầu đến). Ví dụ, giả sử chúng ta muốn
cấp quyền cho tất cả người dùng bên trong hệ thống có quyền truy cập đến các site HTTP.
Chúng ta không nên đặt bộ lọc gói tin IP mà nó sẽ mở cổng 80. Chúng ta nên tạo ra các
luật về nội dung và luật địa điểm truy cập cần thiết, hoặc luật giao thức mà nó cho phép
các truy cập này.
Chúng ta có thể tạo ra các bộ lọc gói tin IP để lọc các gói tin dựa trên loại dịch vụ,
số hiệu cổng dịch vụ, tên máy nguồn và máy đích. Các bộ lọc gói tin IP là mang tính chất
tĩnh – truyền thông thông qua một cổng nào đó sẽ luôn luôn được cho phép hoặc luôn
đóng. Hãy sử dụng các bộ lọc trong trường hợp chúng ta muốn ngăn tất cả các gói tin, trừ

một số loại chúng ta mong muốn nào đó. Nếu chúng ta không có một bộ lọc gói tin được
kích hoạt trên một cổng nào đó, dịch vụ sẽ không thể lắng nghe trên cổng đó trừ khi cổng
đó được mở mang tính động (tuỳ biến).
Các bộ lọc đóng (block) sẽ đóng một cổng nào đó. Chúng ta có thể tạo ra và cấu
hình các bộ lọc đóng để định nghĩa các dòng tin được phép đi qua máy tính ISA Server.
Ví dụ, chúng ta có thể tạo ra một bộ lọc cho phép các dòng tin TCP trên cổng 25 giữa các
host bên trong và bên ngoài hệ thống, rồi kích hoạt truyền thông SMTP. Sau đó chúng ta
có thể giới hạn truy cập, tạo ra một bộ lọc đóng, mà nó sẽ ngăn một tập các host bên
ngoài, chẳng hạn những host có khả năng là những kẻ xâm nhập trái phép, gửi những gói
tin TCP tới cổng 25 trên máy ISA Server .
Các luật giao thức , các luật địa chỉ và nội dung truy nhập.
15


Các luật giao thức định nghĩa các giao thức có thể được sử dụng cho truyền thông
giữa hệ thống mạng của chúng ta và Internet. Các luật giao thức được sử lý ở tầng ứng
dụng. Ví dụ, một luật giao thức có thể chỉ cho phép các máy khách sử dụng giao thức
HTTP.
Các luật địa chỉ và nội dung truy nhập định nghĩa nội dung và địa chỉ trên Internet
mà các máy khách được quản lý bởi ISA Server có thể truy cập đến. Các luật địa chỉ và
nội dung truy cập được xử lý ở tần ứng dụng. Ví dụ, một luật nội dung và địa chỉ có thể
cho phép các máy khách được quyền truy nhập tất cả các địa điểm trên Internet.
Khi chúng ta cài đặt ISA Server , chúng ta định chế độ cài đặt: Firewall, cache,
hoặc chế độ kết hợp cả hai. Bảng sau đây liệt kê các loại luật chính sách quản lý truy cập
của mỗi chế độ cài đặt.
Rule type

Firewall

Cache


Integrated

Luật về địa điểm và
nội dung truy nhập







Luật về giao thức



Có, đối với các giao
thức HTTP, FTP,
HTTPS



1.4.2. Các luật về băng thông
Các luật về băng thông sẽ xác định kết nối nào có quyền ưu tiên hơn. Quản lý
băng thông của ISA Server không giới hạn mức băng thông có thể sử dụng. Hơn thế, nó
thông tin cho dịch vụ quản lý chất lượng dịch vụ (QoS) của Windows 2000 để định mức
ưu tiên cho các kết nối mạng. Bất cứ kết nối nào mà nó không có một luật băng thông đi
kèm sẽ được gán mức ưu tiên lập lịch mặc định của hệ thống. Mặt khác, bất cứ một kết
nối mạng nào được gắn với một luật quản lý băng thông sẽ được đặt mức ưu tiên cao hơn
mức mặc định.

Khi cài đặt ISA Server , chúng lựa chọn chế độ cài đặt: firewall, cache, hoặc chế
độ tích hợp cả hai. Các luật quản lý băng thông có ở tất cả các chế độ.
1.4.3. Các luật chính sách quảng bá.
Chúng ta có thể sử dụng ISA Server để đặt chính sách quảng bá, nó bao gồm các
luật quảng bá server và các luật quảng bá Web. Các chính sách quản lý quảng bá được tạo
ra mức chuỗi (array level), chứ không phải ở mức enterprise.
Các luật quảng bá server sẽ lọc tất cả các yêu cầu đi vào hệ thống. Các luật quản lý
server sẽ ánh xạ các yêu cầu đi vào hệ thống tới các phần tử phục vụ (server) tương ứng
được quản lý phía sau ISA Server .
Các luật quảng bá Web ánh xạ các yêu cầu đi vào hệ thống tới các Web server
tương ứng được quản lý bởi ISA Server .
16


Khi chúng ta cài đặt ISA Server , chúng ta sẽ lựa chọn chế độ cài đặt: firewall,
cache, hoặc chế độ tích hợp. Bảng sau đây sẽ liệt kê các loại luật về chính sách quảng bá
ở mỗi chế độ cài đặt.
Rule type

Firewall

Cache

Integrated

Các luật quảng bá
Web

Không






Các luật quảng bá
server



Không



1.5. Các tính năng nổi trội của Forefront TMG 2010
Forefront Threat Management Gateway (TMG) 2010 là phiên bản firewall mới của
Microsoft thay thế cho sản phẩm ISA Server 2006. Với những tính năng bảo mật hệ thống
được nâng cao đáng kể, người dùng trong mạng nội bộ có thể truy cập Internet một cách
hiệu quả mà không cần phải lo lắng về phần mềm độc hại (malware) và các mối đe dọa
khác.


Firewall

+ VoIP traversal
+ Enhanced NAT
+ ISP link redudancy


Secure Web Access


+ HTTP antivirus/antispyware
+ URL filtering
+ HTTPS forward inspection


E-mail Protection

+ Exchange Edge intergration
+ Antivirus
+ Antispam


Intrsion Prevention

+ Network inspection system


Remote Access

+ NAP integration with client VPN
17


+ SSTP integration


Deployment and Management

+ Array management
+ Change tracking

+ Enhanced reporting
+ W2k8, native 64bit.


Subscription Services

+ Malware protection
+ URL filtering
+ Intrustion prevention
- Enhanced Voice over IP: Voice over IP (VoIP) được sử dụng trong diện thoại
Internet để truyền tải các thông tin liên lạc thoại và video trên mạng nội bộ, Extranet và
Internet. Tính năng này cho phép chúng ta có kế hoạch cho phép lưu lượng VoIP thông
qua TMG, tùy thuộc vào việc triển khai VoIP trong tổ chức của chúng ta và các liên kết
giữa Exchange IP chi nhánh riêng (PBX) và các cổng điện thoại chuyển mạch mạng
(PSTN) hoặc Internet.
- ISP Link Redudancy: Một trong những tính năng đáng chú ý trong phiên bản
TMG Firewall 2010 là khả năng cân bằng tải ISP. Nếu đã từng sử dụng ISA Firewall
chúng ta có thể thấy rằng những khả năng hỗ trợ cho nhiều ISP là một tính năng cần thiết
kể từ khi ISA 2004 được phát hành.
- Web anti-malware: Là một thành phần của một dịch vụ bảo vệ Web của Forefront
TMG. Web anti-malware chống phần mềm độc hại, nó quét các trang web virus, phầm
mềm độc hại và các mối đe dọa khác.
- URL filtering: Cho phép hoặc từ chối truy cập vào các trang Web dựa trên URL
(chẳng hạn như ma túy, khiêu dâm, hoặc lừa đảo…)
- HTTPS inspection: Tính năng này cho phép Forefront TMG kiểm tra các gói tin
được mã hóa bởi SSL để phát hiện các mã độc và các mối đe dọa khác.
- E-mail protection subscription service: Tích hợp với Forefront Protection 2010
for Exchange Server & Exchange Edge Transport Server để kiểm soát virus, malware,
spam e-mail trong hệ thống mail Exchange.
- Network Access Protection (NAP) Integration: Tích hợp với NAP để kiểm tra

tình trạng an toàn của các client trước khi cho phép client kết nối tới VPN.
- Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ thiết lập VPN
dựa trên SSL.
Bảng so sánh chức năng của ISA Server 2006 và Forefront TMG 2010
18


Tính năng

ISA Server 2006

Forefront TMG

Network layer firewall

X

X

Application layer firewall

X

X

Internet access protection (proxy)

X

X


Basic OWA and SharePoint
publising

X

X

Exchange publishing (RPC over
HTTP)

X

X

IPSec VPN (remote and site-to-site)

X

X

Web caching, HTTP compression

X

X

Windows Server 2008 R2, 64-bit
(only)


X New

Web antivirus, antimalware

X New

URL filtering

X New

E-mail antimalware, antispam

X New

Network intrusion prevention

X New

Enhanced UI, management,
reporting

X New

CHƯƠNG 2: GIẢI PHÁP FOREFRONT TMG (PHÁT TRIỂN TỪ ISA)

2.1. Sơ đồ tổng quan

19



Hình 2.1. Sơ đồ tổng quan hệ thống mạng sử dụng TMG 2010

2.2. Tổng quan về Firewall.
2.2.1. Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.
Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng
(Trusted network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,
tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn
chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên
trong (Intranet) tới một số địa chỉ nhất định trên Internet.

2.2.2. Chức năng chính.
- Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
20








Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
Các thành phần
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Bộ lọc packet (packet-filtering router)
Cổng ứng dụng (application-level gateway hay proxy server)
Cổng mạch (circuite level gateway)
Bộ lọc paket (Paket filtering router)

2.2.3. Nguyên lý hoạt động của Firewall.
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được
từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các
giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets)
rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần
gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những
con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm
tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong
số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các
thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet
đó ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

Dạng thông báo ICMP ( ICMP message type)
Giao diện packet đến ( incomming interface of packet)
Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall.
Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết
nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập
vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm
soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất
định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet,
SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.

2.2.4. Ưu nhược điểm của Firewall.
 Ưu điểm.
- Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm
của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được
bao gồm trong mỗi phần mềm router.
21


-

Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì
vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Nhược điểm.
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi người
quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet
header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc
càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều
khiển.
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm

soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang
theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
- Cổng ứng dụng (application-level getway).

2.2.5. Những hạn chế của Firewall.
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định
rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn
công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp
pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt
qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên
tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả
năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.

2.3. Giới thiệu Windown Server 2008.
Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server,
có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của
họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong
việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các
phiên bản trước đây.

22



Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo đảm tất
cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng.
Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và
khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho công việc
của doanh nghiệp.
Windows Server 2008 xây dựng trên sự thành công và sức mạnh của hệ điều hành đã có
trước đó là Windows Server 2003 và những cách tân có trong bản Service Pack 1 và
Windows Server 2003 R2. Mặc dù vậy Windows Server 2008 hoàn toàn hơn hẳn các hệ
điều hành tiền nhiệm.
Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản
xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung
tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho
hệ điều hành cơ bản.
Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ
điều hành cơ bản so với Windows Server 2003.
Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo mật
nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ kiểm tra
độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file. Những
cải thiện này và rất nhiều cải thiện khác sẽ giúp các tổ chức tối đa được tính linh hoạt,
khả năng sẵn có và kiểm soát được các máy chủ của họ

2.4. Giới thiệu về Forefront TMG 2010.
2.4.1. Lịch sử về Forefront TMG 2010.
Khi nhắc đến tường lửa dành cho doanh nghiệp, Hầu hết ai có chút kiến
thức về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của
Microsoft, Tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006.
Phiên bản tiếp theo của hệ thống tường lửa này được gọi với một tên khác:
Forefront Threat Management Gateway
Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên có

thêm nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá trình
đảm nhiệm chức năng tường lửa của mình.
23


Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là
ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ
điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server
2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như:
Windows 7, Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ
điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng
đến một software mới của Microsoft đó là Microsoft forefront Threat Management
Gateway 2010.

2.4.2. Quá trình phát triển của Forefront TMG 2010.
Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn
phát triển sau:
1/1997 - Microsoft Proxy Server v1.0 (Catapult)
18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA
Server 2000)
08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA
Server 2004)
17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA
Server 2006)
17/11/2009-Microsoft Forefront Threat Management Gateway 2010
(Forefront TMG 2010)

MS ISA
2006


Ms ISA
2004

MS Forefront
TMG 2010

Ms ISA
2000
Ms Proxy Server v1.0
(Catapult)

Hình 2.2. Sơ đồ phát triển của Forefront TMG 2010

2.4.3. Các tính năng của TMG 2010.
Các chức năng chính của TMG 2010.
Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra ngoài Internet và
ngược lại.
Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi truy
cập web.
Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ e-mail
độc hại.
24


Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng các
dịch vụ và tài nguyên mạng trong nội bộ.
Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên
ngoài.

25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×