MỤC LỤC MỤC LỤC i DANH MỤC HÌNH ẢNH iii LỜI CẢM ƠN iv LỜI CAM ĐOAN v LỜI MỞ ĐẦU vi Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010 1.1 Tổng quan Firewall 1.1.1 Khái niệm Firewall .1 1.1.2 Chức 1.1.3 Nguyên lý hoạt động Firewall 1.1.4 Ưu nhược điểm Firewall 1.1.5 Những hạn chế Firewall .3 1.2 Giới thiệu Forefront TMG 2010 1.2.1 Lịch sử Forefront TMG 2010 1.2.2 Quá trình phát triển Forefront TMG 2010 .5 1.3 Các tính TMG 2010 1.4 Các mô hình Firewall TMG .8 1.4.1 Network template 1.4.2 Cấu hình thiết lập mạng 1.4.3 Forefront TMG cung cấp đầy đủ tính Firewall 11 1.5 Giao diện TMG 2010 15 1.6 Các loại TMG Client 18 1.6.1 Web Proxy Client .18 1.6.3 Cấu hình Server-Side 19 1.6.4 SecureNET Clients .20 1.7 Lý chọn TMG thay ISA 21 1.8 Yêu cầu hệ thống .25 Chương 2: KHẢO SÁT PHÂN TÍCH HỆ THỐNG MẠNG CÔNG TY 27 2.1 Công ty TNHH Huyndai Merchant Marine Việt Nam 27 2.1.1 Giới thiệu công ty .27 2.1.2 Sơ đồ máy tổ chức công ty 27 2.2 Tình hình hệ thống mạng công ty 29 2.2.1 Sơ đồ tổ chức máy tính phòng ban 29 2.2.2 Hiện trạng sở vật chất mạng công ty .30 2.2.3 Sơ đồ mạng .31 2.1.4 Nhận xét .31 2.1.5 Nhu cầu công ty 32 2.3 Đề xuất giải pháp .34 2.4 Danh mục server 37 Chương 3: TRIỂN KHAI VÀ CẤU HÌNH HỆ THỐNG 38 3.1 Cài đặt TMG 2010 .38 3.1.1 Mô hình mô cài đặt 38 3.1.2 Cài đặt TMG 2010 máy TMG 39 3.1.3 Cấu hình mạng hệ thống 40 3.2 Cấu hình số tính TMG 2010 43 3.2.1 DNS Query 43 3.2.2 Web Access 45 3.2.3 Malware Inspection 46 3.2.4 HTTPS Inspection 48 3.2.5 Cấm vào Internet thời gian định sẵn 51 3.2.6 Intrusion Detection .52 3.2.7 Quản lý băng thông với Bandwidth Splitter .54 3.2.8 Các dịch vụ khác 55 3.3 Một số kết thực 56 KẾT LUẬN 59 TÀI LIỆU THAM KHẢO 61 DANH MỤC HÌNH ẢNH Hình 1.1 Sự phát triển Forefront TMG 2010 Hình 1.2 Sơ đồ phát triển Forefront TMG 2010 Hình 1.3 Các chức TMG 2010 Hình 1.4 Bảng so sánh chức ISA Server 2006 & Forefront TMG 2010 Hình 1.5 Network setup wizard Hình 1.6 Edge Firewall Template Hình 1.7 3-Leg Perimeter Template Hình 1.8 Back Firewall Template 10 Hình 1.9 Single Network Adapter Template 11 Hình 1.10 Giao diện hiển thị rule sử dụng giao thức DNS 16 Hình 1.11 Giao diện cấu hình truy cập Web 16 Hình 1.12 Giao diện tạo tuyến tĩnh 17 Hình 1.13 Launch Getting Started Wizard giao diện17 Hình 1.14 Giao diện tạo nhóm Rule 18 Hình 2.1 Sơ đồ tổ chức máy công ty 27 Hình 2.2 Tổ chức máy tính phòng ban công ty 29 Hình 2.3 Sơ đồ mạng công ty 31 Hình 2.4 Mô hình mạng cho công ty36 Hình 3.1 Mô mạng triển khai TMG 38 Hình 3.2 Giao diện cài đặt -> Tùy chọn vào Run Preparation Tool 39 Hình 3.3 Cài đặt Run Intallation Winzard 40 Hình 3.4 Giao diện quản trị Forefront TMG 43 Hình 3.5 Tạo Access rule 43 Hình 3.6 Đặt tên cho Access Rule44 Hình 3.7 Apply để lưu cấu hình 44 Hình 3.8 Nhấn nút Install Certificate chấp nhận nơi lưu trữ50 Hình 3.9 IE thông báo chứng có vấn đề 51 Hình 3.10 Chọn hình thức cảnh báo 53 Hình 3.11 Cấu hình Superscan tiến hành scan 54 Hình 3.12 Thông báo xâm nhập bên máy TMG 54 Hình 3.19 Truy cập web nội 58 LỜI CẢM ƠN Em xin chân thành cảm ơn thầy cô khoa Truyền thông & Mạng Máy Tính truyền đạt vốn kiến thức quý báu cho em suốt trình học tập để em có thêm nhiều kiến thức mới, tích lũy thêm vốn hiểu biết mình, phục vụ cho công việc sau Đặc biệt em xin gửi lời cảm ơn đến thầy Trần Duy Minh, thầy giúp đỡ em nhiều trình trình thực đồ án tạo điều kiện tốt để em thực đề tài Trong trình tìm hiểu, áp dụng vào thực tế, nhiều hạn chế bỡ ngỡ kinh nghiệm thực tế, không tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp thầy cô để em hoàn thiện Cuối cùng, em xin kính chúc thầy cô khoa Truyền thông & Mạng Máy Tính đặc biệt thầy Trần Duy Minh dồi sức khỏe để hướng dẫn, truyền đạt kinh nghiệm, kiến thức quý báu cho chúng em Xin chân thành cảm ơn! Thái Nguyên, tháng năm 2016 Sinh viên Hạ Văn Hựu LỜI CAM ĐOAN Sau trình học tập trường Đại học công nghệ thông tin truyền thông Thái Nguyên, có kết hợp, vận dụng lý thuyết thực tế, em tìm hiểu nghiên cứu tập hợp tài liệu để hoàn thành đồ án tốt nghiệp Em xin cam đoan đồ án tốt nghiệp thân em tự tìm hiểu, nghiên cứu hoàn thành hướng dẫn thầy giáo ThS Trần Duy Minh Em xin cam đoan đồ án chưa sử dụng để bảo vệ học vị Thái Nguyên, tháng năm 2016 Sinh viên Hạ Văn Hựu LỜI MỞ ĐẦU  Những năm gần đây, xã hội có nhiều thay đổi, nhiều xu hướng phát triển mới, thành tích tiến vượt trội tất ngành công nghiệp nông nghiệp Điều phải kể đến đóng góp tích cực ngành khoa học đại, đáng kể đóng góp ngành Công nghệ thông tin – Tin học ứng dụng Cùng với đời mạng máy tính ứng dụng, tạo nên nhiều tiền đề phát triển tương lại, rút ngắn khoảng cách quốc gia địa cầu, tạo điều kiện thuận lợi cho kết nối doanh nghiệp nước Tuy nhiên thách thức to lớn cho tất doanh nghiệp muốn tồn phát triển không gian kết nối mạng Cùng với nhu cầu bảo mật thông tin doanh nghiệp, nhiều ứng dụng bảo mật triển khai với nhiều hình thức nhằm giữ tính toàn vẹn thông tin doanh nghiệp đời Trước công không ngừng ứng dụng bảo mật hệ thống mạng khiên che chắn vững cho mạng doanh nghiệp ứng dụng bảo mật hệ thống mạng doanh nghiệp chủ đề mà em tìm hiểu nghiên cứu đề tài: “Ứng dụng giải pháp bảo mật Microsoft Forefront TMG 2010 thiết kế mạng cho công ty THHH Huyndai Merchant Marine Việt Nam” Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010 1.1 Tổng quan Firewall 1.1.1 Khái niệm Firewall Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trò bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet 1.1.2 Chức  Chức Firewall kiểm soát luồng thông tin từ Intranet Internet Thiết lập chế điều khiển dòng thông tin mạng bên (Intranet) mạng Internet Cụ thể là:  Cho phép cấm dịch vụ truy nhập (từ Intranet Internet)  Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet)  Theo dõi luồng liệu mạng Internet Intranet  Kiểm soát địa truy nhập, cấm địa truy nhập  Kiểm soát người sử dụng việc truy nhập người sử dụng  Kiểm soát nội dung thông tin thông tin lưu chuyển mạng  Các thành phần  Firewall chuẩn bao gồm hay nhiều thành phần sau đây: + Bộ lọc packet (packet-filtering router) + Cổng ứng dụng (application-level gateway hay proxy server) + Cổng mạch (circuite level gateway) + Bộ lọc paket (Paket filtering router) 1.1.3 Nguyên lý hoạt động Firewall Khi nói đến việc lưu thông liệu mạng với thông qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data pakets) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (packet header), dùng phép truyền packet mạng Đó là:  Địa IP nơi xuất phát ( IP Source address)  Địa IP nơi nhận (IP Destination address)  Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)  Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)  Cổng TCP/UDP nơi nhận (TCP/UDP destination port)  Dạng thông báo ICMP ( ICMP message type)  Giao diện packet đến ( incomming interface of packet)  Giao diện packet ( outcomming interface of packet) Nếu luật lệ lọc packet thoả mãn packet chuyển qua firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục 1.1.4 Ưu nhược điểm Firewall  Ưu điểm: Đa số hệ thống firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router Ngoài ra, lọc packet suốt người sử dụng ứng dụng, không yêu cầu huấn luyện đặc biệt  Nhược điểm Việc định nghĩa chế độ lọc package việc phức tạp: đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý điều khiển Do làm việc dựa header packet, rõ ràng lọc packet không kiểm soát nội dung thông tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu Cổng ứng dụng (application-level getway) 1.1.5 Những hạn chế Firewall 10  Cập nhật policy lệnh gpupdate /force  Sang máy DC kiểm tra cách download lại file eicar.com Hình 3.9 IE thông báo chứng có vấn đề  Kiểm tra bạn nhận báo lỗi hình cho biết phát chặn file có chứa malware 3.2.5 Cấm vào Internet thời gian định sẵn - TMG cung cấp tính cho phép thực công việc, truy cập internet, truy 75 cập máy in, mạng nội bộ, gửi mail… thời gian cụ thể mà người quản trị thiết lập - Để cấu hình thực bước sau: + Vào Web Access Policy -> sang bên Toolbox -> Schedules + Click chọn New + Tại ô Name đặt tên cho lịch trình + Ở có tùy chọn Active Deny, tuỳ theo hoàn cảnh mà ta cấu hình rules khác + Ví dụ đặt tên là: Giờ làm việc buổi sáng với thời gian từ 7h00 đến 11h00 trạng thái Active 76 3.2.6 Intrusion Detection Đây chức tự động phát đợt công từ bên cảnh báo với người quản trị Thực  Mở giao diện TMG -> Intrusion Prevention System-> Behavioral Intrusion Detecsion -> Configure Detection Setting for Common Network Attacks  Trong hộp Intrution Detection chọn mục Port scan -> ok  Ở giao diện chọn Monitoring -> Configure Alert Definitions  Trong cửa sổ Alerts Properties chọn Intrution Detected -> Edit 77  Chọn Tab Action -> Ta quy định nhiều hình thức cảnh báo khác Hình 3.10 Chọn hình thức cảnh báo  Tại máy client, chạy chương trình SuperScan 78 Hình 3.11 Cấu hình Superscan tiến hành scan  Nhập Ip card lan Forefront TMG server 192.168.2.1 -> Nhấn nút Lookup -> Tùy chọn Start IP Stop IP -> Nhấn nút Start để tiến hành Scan  Sang máy TMG chọn Monitoring -> Alert -> Sẽ thấy xuất dòng thông tin cảnh báo Hình 3.12 Thông báo xâm nhập bên máy TMG 3.2.7 Quản lý băng thông với Bandwidth Splitter 79 Hiện nay, Bandwidth Splitter phần mềm sử dụng phổ biến tổ chức doanh nghiệp Ưu điểm công cụ nhỏ gọn, tích hợp tường lửa TMG Server phép người quản trị thực tác vụ như: giới hạn băng thông cho người dùng nội bộ, cung cấp băng thông cho người dùng ưu tiên, giới hạn dung lượng download/upload cho người dùng nội bộ, cung cấp download/upload không giới hạn cho users ưu tiên, theo dõi trạng thái sử dụng băng thông người dùng Giao diện Bandwidth Splitter đơn giản dễ sử dụng Sau download cài đặt lên máy chủ TMG Server, bạn tiến hành tạo rule băng thông dung lượng download/upload mục Shaping Rules Quota Rules Để theo dõi trạng thái sử dụng băng thông, bạn sử dụng chức Monitoring 3.2.8 Các dịch vụ khác  Web Server (máy chủ Web): máy chủ mà cài đặt phần mềm chạy 80 Website, người ta gọi phần mềm Web Server Tất Web Server hiểu chạy file *.htm *.html, nhiên Web Server lại phục vụ số kiểu file chuyên biệt chẳng hạn IIS Microsoft dành cho *.asp, *.aspx…; Apache dành cho *.php…; Sun Java System Web Server SUN dành cho *p…  Máy chủ FTP Server: FTP (viết tắt File Transfer Protocol dịch “Giao thức truyền tập tin”) thường dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giao thức TCP/IP (chẳng hạn Internet – mạng ngoại – intranet – mạng nội bộ) Hoạt động FTP cần có hai máy tính, máy chủ máy khách) Máy chủ FTP, dùng chạy phần mềm cung cấp dịch vụ FTP, gọi trình chủ, lắng nghe yêu cầu dịch vụ máy tính khác mạng lưới Máy khách chạy phần mềm FTP dành cho người sử dụng dịch vụ, gọi trình khách, khởi đầu liên kết với máy chủ - Cài đặt Web server, FTP Server máy Domain 3.3 Một số kết thực a, Truy cập Internet 81  Thực truy cập Internet máy Client b, Cảnh báo malware  Sang máy Client, kiểm tra cách download file eicar.com  Bạn nhận thông báo lỗi hình cho biết file có chứa malware bị chặn 82 c, Cấm truy cập trang web làm việc d, Kết nối VPN Client- to – Site - Trên máy Client có IP 192.168.0.105 kết nối VPN tới domain huyndaivn.com 83 - Tạo kết nối VPN máy Client địa IP Server cấp cho Client e, Dịch vụ Web server  Sau cài đặt thành công Web Server, ta truy cập vào web nội công ty domain… 84 Hình 3.19 Truy cập web nội f, Dịch vụ FTP Server  Trao đổi tập tin qua mạng lưới truyền thông vơi giao thức TCP/IP (port 21) 85 86 KẾT LUẬN Kết đạt hạn chế - Nghiên cứu triển khai thành công hệ thống firewall TMG 2010 - Cấu hình, thiết lập số chức - Trong thời gian ngắn nhiều tính TMG 2010 chưa thể triển khai - Một số lỗi trình sử dụng, xử lý - Web server Đã xây dựng web server publish internet giúp cho nhân viên công ty truy cập vào trang web công ty - FTP server Nhân viên truy cập vào liên kết ftp để tải upload tập tin mình, liệu công ty, thao tác với liệu tùy theo mức độ phân quyền khả tài khoản truy cập người quản trị cung cấp - VPN client to site Các nhân viên bên internet truy cập vào hệ thống mạng công ty thông qua dịch vụ VPN với tài khoản cấp, thuận tiện cho việc trở ngại khoảng cách Hướng phát triển - Trong tương lai công ty có nhu cầu mở chi nhánh Hải Phòng để tiện cho việc kinh doanh mở rộng công ty Để liệu trụ sở chi nhánh cập nhật qua lại cách thông suốt, hệ thống mạng công ty cần đáp ứng số yêu cầu như: 87 + Hệ thống mạng chi nhánh đồng với hệ thống mạng trụ sở + Nhân viên chi nhánh sử dụng tài nguyên mạng, dịch vụ mạng giống trụ sở Vì xây dựng hệ thống mạng chi nhánh kết nối với trụ sở theo mô hình VPN site to site - Khai thác hết tính mà TMG cung cấp - Triển khai bảo mật theo mô hình Back Firewall cho công ty - Có thể triển khai áp dụng cho doanh nghiệp với quy mô mạng lớn - Kết hợp với nhiều phương pháp bảo mật khác để tăng tính toàn vẹn thông tin cho doanh nghiệp 88 TÀI LIỆU THAM KHẢO [1] O'Reilly, Microsoft Forefront Threat Management Gateway (TMG) Administrator's Companion [2] Thomas Shinder, Deploying Microsoft Forefront Threat Management Gateway 2010 [3] Jesse Varsalone, Microsoft Forefront Security Administration Guide [4] www.isaserver.org [5] www.social.technet.microsoft.com [6] www.quantrimang.com 89 ... bảo mật hệ thống mạng doanh nghiệp chủ đề mà em tìm hiểu nghiên cứu đề tài: Ứng dụng giải pháp bảo mật Microsoft Forefront TMG 2010 thiết kế mạng cho công ty THHH Huyndai Merchant Marine Việt Nam ... 2.1 Sơ đồ tổ chức máy công ty 27 Hình 2.2 Tổ chức máy tính phòng ban công ty 29 Hình 2.3 Sơ đồ mạng công ty 31 Hình 2.4 Mô hình mạng cho công ty3 6 Hình 3.1 Mô mạng triển khai TMG 38 Hình 3.2 Giao... Server 2006 & Forefront TMG 2010 1.4 Các mô hình Firewall TMG Forefront TMG sử dụng khái niệm “multi networking” Để định nghĩa topo mạng, cần tạo mạng Forefront TMG Sau tất mạng cần thiết, cần tạo