ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG VÀ TRUYỀN THÔNG o0o MÔN: Xây Dựng Chuẩn Chính Sách An Toàn Thông Tin Trong Doanh Nghiệp TMG FOREFRONT 2010 SINH VIÊN THỰC HIỆN: GIÁO VIÊN GIẢNG DẠY: Nguyễn Lâm 08520194 GV : Nguyễn Duy Cao Nhật Quang 08520304 Ngô Tấn Tài 08520323 Lâm Văn Tú 08520610 Thành Phố Hồ Chí Minh -25/04/2012- 1 Mục lục 1 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH 1 TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN 1 KHOA MẠNG VÀ TRUYỀN THÔNG 1 1 Giới thiệu 3 2 DOWNLOAD và INSTALL 7 3 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT 9 4 FIREWALL POLICY 17 5 WEB ACCESS POLICY 31 6 E-MAIL POLICY 36 7 MONITORING : xem hoạt động của TMG 49 8 NETWORKING 52 9 LOGS & REPORTS : 55 Tạo report 1 lần duy nhất hay tạo theo yêu cầu mà mình mong muốn (ngày , giờ) 55 10 REMOTE ACCESS POLICY 56 11 UPDATE CENTRER 84 12 TROUBLESHOOTING 87 13 TRIỂN KHAI MÔ HÌNH THỰC TẾ: 87 2 1 Giới thiệu Sự xuất hiện của Microsoft Forefront Threat Management Gateway (TMG) 2010 đã mang lại khá nhiều điều thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ các phiên bản Microsoft ISA Server trước đây. Một trong số đó là các tính năng bảo mật mới có trong sản phẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware, chuyển tiếp SSL, hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ email. Bên cạnh đó còn có vô số những thứ khác cũng được thay đổi để cho phép nhiệm vụ quản lý hàng ngày đối với TMG trở nên dễ dàng hơn. Trong đồ án này, chúng em sẽ giới thiệu một số tính năng cơ bản được ưa thích và một số cải tiến trong TMG để có thể cho administrator triến khai từ đơn giản đến phức tạp . Chức năng chính của Forefont TMG 2010 Forefont TMG 2010 đáp ứng đầy đủ tất cả các tính năng của firewall . Được đa số doanh nghiệp vừa và nhỏ triển khai vì chi phí thấp, dễ sử dụng, đáp ứng mọi mô hình mạng . Được phát triển dựa trên phiên bản ISA 2006 của Microsoft đã thành công trước đó . Tiếp nối thành công đó, Forefont TMG 2010 ra đời . Các tính năng nổi trội của Forefont TMG 2010 3 • Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG • ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền internet • Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập web • URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat • HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate • E-mail protection subscription service: tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail trong hệ thống Mail Exchange • Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật • Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN • Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP • Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit Bảng so sánh tính năng ISA Server 2006 và Forefront TMG 4 Bảng so sánh 2 phiên bản Forefont TMG Standard và Enterprise Các yêu cầu phần cứng khi cài đặt Forefont TMG 5 Các yêu cầu phần mềm khi cài đặt : - Windows Role and Features • Network Policy and Access Server • Active Directory Lightweight Directory Services (ADLDS) • Network Load Balancing (NLB) - Microsoft® .NET 3.5 Framework SP1 - Windows Web Services API 6 2 DOWNLOAD và INSTALL 2.1 Download B1:Vào trang microsoft để tìm kiếm và tải về B2:Tải bản cập nhật SP1 cho TMG 2.2 Install B1:click vào file đã tải về sau đó chạy cập nhận Windows B2:cài đặt các tool cần thiết 7 B3: cài đặt services, features và management consolse cần thiết B4 : trong quá trình cài đặt B4: tiến hành cài đặt phần còn lại B5: nhấn Add để khai báo dãy địa chỉ Internal B6: quá trình cài đặt 8 3 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT 3.1 Cài đặt Forefont TMG 2010 Server B1: chọn Configure network settings B2: Hộp thoại Network Template Selection ( Chọn các mô hình để triển khai firewall) : Chọn 3-Leg perimeter  Next B3 : Chọn network adapter kết nối với mạng cục bộ B4 : Chọn network adapter kết nối với ISP bên ngoài 9 B5: Chọn network adapter kết nối với vùng DMZ B6: Nhấn finish để hoàn thành B7 : Chọn Configure system settings B8: Chọn Next 10 [...]... update TMG B11 : Chọn thời gian cập nhật TMG 11 B12 : Chọn No, I don’t want to participate B14 : Chọn Close để hoàn thành B13 : Chọn Basic hoặc Advanced Đây là giao diện để cấu hình của Forefront TMG 12 3.2 Cấu hình để máy client đồng bộ với Forefont TMG Server: Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client & Forefront TMG. .. cụ TMGADConfig Microsoft Forefront TMG cung cấp một tính năng mới giúp tự động hóa tiến trình kiểm tra của máy chủ TMG được thực hiện trên các máy trạm TMG( AD Marker) Không giống như những phiên bản máy trạm Firewall khác, giờ đây Forefront TMG Client có thể sử dụng một vạch dấu trong Active Directory để kiểm tra máy chủ TMG tương ứng TMG Client sẽ sử dụng LDAP để kiểm tra những thông tin cần thiết trong. .. Forefront TMG computer : agreement  Next khai báo bằng tay Automatically detect the appropriate Forefront TMG computer : tự động dò và kết nối với TMG Server Option này được chọn  Next B5 : Chọn Automatically detect the appropriate B6 : Chọn Finish Forefront TMG computer  Next 16 Mở Forefront TMG Client, qua tab Setting, kiểm Trong hộp thoại Advanced Automatic Detection, traTMG Client kết nối đến TMG. .. các đặc điểm được so sánh trong bảng sau: Với các đặc điểm trong bảng so sánh trên, sẽ thấy ưu điểm của Forefront TMG Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống Forefront TMG 2010 nên sẽ cấu hình cho các máy Clients truy cập Internet bằng cơ chế Forefront TMG Client Và để TMG Client tự động dò & kết nối đến TMG Server bằng cách cấu... công cụ TMG AD Config và cài trên máy chủ TMG, sau đó chạy lệnh trong cmd có cú pháp sau để đăng ký AD Marker: Tmgaddconfigadd – default –type winsock –url http://yourdomain:8080/wspad.dat 14 • Cài đặt Forefront TMG Client Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM Trong bài... đặt Forefront TMG Client nên chúng tôi sẽ cài bằng tay Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục client, chạy file TMGClient_ENU_x86.exe (đối với hệ điều hành 32 bit ) hay file TMGClient_ENU_x64.exe (đối với hệ điều hành 64 bit) để cài đặt B1 : Chọn file TMG client B2 : Hộp thoại Welcome, chọn Next 15 B3 : chọn I accept the terms in the license B4 : Connect to this Forefront. .. để TMG Client tự động dò & kết nối đến TMG Server bằng cách cấu hình chức năng Auto Discovery trên Forefront TMG 2010 Các bước sẽ thực hiện : 1.Bật chức năng Auto Discovery tren Forefront TMG Server 2.Cấu hình Auto Discovery 3.Cài đặt Forefront TMG Client 13 • Bật chức năng Auto Discovery trên Forefront TMG Server B1 : bên trái chọn Network Bên phải chọn Internal sau đó B2 : qua tab Auto Discovery chọn... AD Marker, TMG Client sẽ không chuyển sang tiến trình kiểm tra tự động truyền thống qua DHCM và DNS vì lí do bảo mật Làm như vậy để giảm thiểu nguy cơ gặp phải khi tin tặc muốn khôi phục lại phương thức kém bảo mật hơn Nếu một kết nối tới Active Directory được thiết lập nhưng một AD Marker không được phát hiện, thì TMG Client sẽ chuyển sang DHCP và DNS Để thiết lập cấu hình cho AD Marker trong Active... thoại Users : Add -> Windows users and Winzard : đặt tên Giangvien groups B4 : Location  caonhatquang.com B5 : Chọn Next 20 B6 : Hộp thoại Completing the New User Set Winzard - chọn Finish 4.1.3 Định nghĩa giờ làm việc B1: Firewall Policy ToolboxSche dules  New 21 B2 : Hộp thoại New schedule Name  giờ làm việc Thiết lập giờ làm việc  OK 4.1.4 Tạo Group trang web cho phép hay muốn cấm B1 : Firewall... No Authentication 28 B13 : chọn Next B14 : chọn Next B15: Chọn Listen 80 For CA Server B16 : chọn No delegation, and client cannot authenticate directly 29 B17 : Chọn Next B18 : chọn Finish B19 : Đứng từ 1 máy bên ngoài để kiểm tra Trên máy B20 : kết quả khi kết nối Web Server (AD) tạo trang web mặc định ở folder wwwroot 30 5 5.1 WEB ACCESS POLICY Web Caching B1 : Web Access Policy  Web Caching B2 . MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG VÀ TRUYỀN THÔNG o0o MÔN: Xây Dựng Chuẩn Chính Sách An Toàn Thông Tin Trong Doanh Nghiệp TMG FOREFRONT 2010 SINH VIÊN THỰC HIỆN: GIÁO. Forefont TMG 2010 ra đời . Các tính năng nổi trội của Forefont TMG 2010 3 • Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG • ISP Link Redundancy: hỗ trợ load balancing. Finish 16 Mở Forefront TMG Client, qua tab Setting, kiểm traTMG Client kết nối đến TMG Server thành công, chọn Advanced Trong hộp thoại Advanced Automatic Detection, kiểm tra chúng ta đang sử dụng