MỤC LỤC
MỤC LỤC
i
DANH MỤC HÌNH ẢNH iii
LỜI CẢM ƠN
iv
LỜI CAM ĐOAN v
LỜI MỞ ĐẦU
vi
Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010
1
1.1. Tổng quan về Firewall .................................................................................1
1.1.1. Khái niệm Firewall...............................................................................1
1.1.2. Chức năng chính...................................................................................1
1.1.3. Nguyên lý hoạt động của Firewall........................................................2
1.1.4. Ưu nhược điểm của Firewall ................................................................3
1.1.5. Những hạn chế của Firewall.................................................................3
1.2. Giới thiệu về Forefront TMG 2010 ............................................................4
1.2.1. Lịch sử về Forefront TMG 2010 ..........................................................4
1.2.2. Quá trình phát triển của Forefront TMG 2010 .....................................5
1.3. Các tính năng của TMG 2010......................................................................5
1.4. Các mô hình Firewall trong TMG ...............................................................8
1.4.1. Network template .................................................................................8
1.4.2. Cấu hình các thiết lập mạng .................................................................9
1.4.3. Forefront TMG cung cấp đầy đủ các tính năng của một Firewall......11
1.5. Giao diện của TMG 2010 ..........................................................................15
1.6. Các loại TMG Client .................................................................................18
1.6.1. Web Proxy Client ...............................................................................18
1.6.3. Cấu hình Server-Side..........................................................................19
1.6.4. SecureNET Clients .............................................................................20
1
1.7. Lý do chọn TMG thay vì ISA....................................................................21
1.8. Yêu cầu hệ thống .......................................................................................25
Chương 2: KHẢO SÁT PHÂN TÍCH HỆ THỐNG MẠNG CÔNG TY
27
2.1. Công ty TNHH Huyndai Merchant Marine Việt Nam ..............................27
2.1.1. Giới thiệu công ty...............................................................................27
2.1.2. Sơ đồ bộ máy tổ chức công ty ............................................................27
2.2. Tình hình hệ thống mạng hiện tại của công ty...........................................29
2.2.1. Sơ đồ tổ chức máy tính và các phòng ban ..........................................29
2.2.2. Hiện trạng cơ sở vật chất mạng công ty .............................................30
2.2.3. Sơ đồ mạng.........................................................................................31
2.1.4. Nhận xét .............................................................................................31
2.1.5. Nhu cầu của công ty ...........................................................................32
2.3. Đề xuất giải pháp .......................................................................................34
2.4. Danh mục các server..................................................................................37
Chương 3: TRIỂN KHAI VÀ CẤU HÌNH HỆ THỐNG
38
3.1. Cài đặt TMG 2010 .....................................................................................38
3.1.1. Mô hình mô phỏng cài đặt..................................................................38
3.1.2. Cài đặt TMG 2010 trên máy TMG.....................................................39
3.1.3. Cấu hình mạng và hệ thống................................................................40
3.2. Cấu hình 1 số tính năng cơ bản của TMG 2010 ........................................43
3.2.1. DNS Query .........................................................................................43
3.2.2. Web Access ........................................................................................45
3.2.3. Malware Inspection ............................................................................46
3.2.4. HTTPS Inspection ..............................................................................48
3.2.5. Cấm vào Internet trong thời gian định sẵn .........................................51
3.2.6. Intrusion Detection .............................................................................52
3.2.7. Quản lý băng thông với Bandwidth Splitter.......................................54
3.2.8. Các dịch vụ khác ................................................................................55
2
3.3. Một số kết quả thực hiện............................................................................56
KẾT LUẬN 59
TÀI LIỆU THAM KHẢO 61
3
DANH MỤC HÌNH ẢNH
Hình 1.1. Sự phát triển của Forefront TMG 2010
4
Hình 1.2. Sơ đồ phát triển của Forefront TMG 2010 5
Hình 1.3. Các chức năng chính của TMG 2010. 6
Hình 1.4. Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010
7
Hình 1.5. Network setup wizard 8
Hình 1.6. Edge Firewall Template 9
Hình 1.7. 3-Leg Perimeter Template
9
Hình 1.8. Back Firewall Template 10
Hình 1.9. Single Network Adapter Template
11
Hình 1.10 Giao diện hiển thị các rule đang sử dụng giao thức DNS 16
Hình 1.11. Giao diện cấu hình truy cập Web
16
Hình 1.12. Giao diện tạo một tuyến tĩnh 17
Hình 1.13. Launch Getting Started Wizard trong cây giao diện17
Hình 1.14. Giao diện tạo một nhóm Rule 18
Hình 2.1. Sơ đồ tổ chức bộ máy công ty 27
Hình 2.2. Tổ chức máy tính và các phòng ban của công ty
29
Hình 2.3. Sơ đồ mạng công ty hiện nay 31
Hình 2.4. Mô hình mạng mới cho công ty36
Hình 3.1. Mô phỏng mạng triển khai TMG
38
Hình 3.2. Giao diện cài đặt -> Tùy chọn vào Run Preparation Tool 39
Hình 3.3. Cài đặt Run Intallation Winzard
40
Hình 3.4. Giao diện quản trị Forefront TMG
43
Hình 3.5. Tạo mới Access rule
43
Hình 3.6. Đặt tên cho Access Rule44
Hình 3.7. Apply để lưu cấu hình 44
Hình 3.8. Nhấn nút Install Certificate và chấp nhận nơi lưu trữ50
Hình 3.9. IE thông báo chứng chỉ có vấn đề
51
Hình 3.10. Chọn hình thức cảnh báo.
53
Hình 3.11. Cấu hình Superscan và tiến hành scan
54
Hình 3.12. Thông báo xâm nhập bên máy TMG
54
Hình 3.19. Truy cập web nội bộ 58
LỜI CẢM ƠN
4
Em xin chân thành cảm ơn các thầy cô khoa Truyền thông & Mạng Máy Tính
đã truyền đạt vốn kiến thức quý báu cho em trong suốt quá trình học tập để em có
thêm nhiều kiến thức mới, tích lũy thêm vốn hiểu biết của mình, phục vụ cho công
việc sau này. Đặc biệt em xin gửi lời cảm ơn đến thầy Trần Duy Minh, thầy đã
giúp đỡ em rất nhiều trong quá trình quá trình thực hiện đồ án và tạo điều kiện tốt
nhất để em có thể thực hiện được đề tài này.
Trong quá trình tìm hiểu, áp dụng vào thực tế, còn nhiều hạn chế và bỡ ngỡ
cũng như kinh nghiệm thực tế, do đó không tránh khỏi những thiếu sót, em rất
mong nhận được những ý kiến đóng góp của các thầy cô để em có thể hoàn thiện hơn.
Cuối cùng, em xin kính chúc các thầy cô khoa Truyền thông & Mạng Máy
Tính và đặc biệt là thầy Trần Duy Minh dồi dào sức khỏe để có thể hướng dẫn,
truyền đạt những kinh nghiệm, kiến thức quý báu cho chúng em. Xin chân thành
cảm ơn!
Thái Nguyên, tháng 6 năm 2016
Sinh viên
Hạ Văn Hựu
5
LỜI CAM ĐOAN
Sau quá trình học tập tại trường Đại học công nghệ thông tin và truyền thông
Thái Nguyên, có sự kết hợp, vận dụng giữa lý thuyết và thực tế, em đã tìm hiểu
nghiên cứu và tập hợp các tài liệu để hoàn thành đồ án tốt nghiệp của mình.
Em xin cam đoan đồ án tốt nghiệp này là do bản thân em tự tìm hiểu,
nghiên cứu và hoàn thành dưới sự hướng dẫn của thầy giáo ThS. Trần Duy
Minh. Em xin cam đoan đồ án này chưa từng được sử dụng để bảo vệ ở bất
cứ học vị nào.
Thái Nguyên, tháng 6 năm 2016
Sinh viên
Hạ Văn Hựu
6
LỜI MỞ ĐẦU
Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều
xu hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các
ngành công nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích
cực của các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành
Công nghệ thông tin – Tin học ứng dụng.
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền
đề phát triển mới của tương lại, rút ngắn khoảng cách giữa các quốc gia trên địa
cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài
nước. Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp
muốn tồn tại và phát triển trong không gian kết nối mạng.
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng
dụng bảo mật được triển khai với nhiều hình thức nhằm giữ tính toàn vẹn thông tin
của doanh nghiệp được ra đời. Trước những sự tấn công không ngừng đó thì các
ứng dụng bảo mật hệ thống mạng là tấm khiên che chắn khá vững chắc cho mạng
doanh nghiệp và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là
chủ đề mà em đã tìm hiểu và nghiên cứu về đề tài: “Ứng dụng giải pháp bảo mật
Microsoft Forefront TMG 2010 trong thiết kế mạng cho công ty THHH
Huyndai Merchant Marine Việt Nam”.
7
Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY
(TMG) 2010
1.1. Tổng quan về Firewall
1.1.1. Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo
vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ
thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin
tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một
công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật
thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và
cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
1.1.2. Chức năng chính
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa
Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên
trong (Intranet) và mạng Internet. Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet
vào Intranet).
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
8
Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
Các thành phần
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
+ Bộ lọc packet (packet-filtering router)
+ Cổng ứng dụng (application-level gateway hay proxy server)
+ Cổng mạch (circuite level gateway)
+ Bộ lọc paket (Paket filtering router)
1.1.3. Nguyên lý hoạt động của Firewall
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được
từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao
thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi
gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi
đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con
số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm
tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong
số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các
thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó
ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
9
Dạng thông báo ICMP ( ICMP message type)
Giao diện packet đến ( incomming interface of packet)
Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall.
Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết
nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào
hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát
các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định
vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP,
FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
1.1.4. Ưu nhược điểm của Firewall
Ưu điểm:
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu
điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã
được bao gồm trong mỗi phần mềm router.
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng,
vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
Nhược điểm.
Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự
lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và
điều khiển.
Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không
kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể
mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Cổng ứng dụng (application-level getway).
1.1.5. Những hạn chế của Firewall
10
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định
rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn
công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp
lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt
qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục
của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng
kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
1.2. Giới thiệu về Forefront TMG 2010
1.2.1. Lịch sử về Forefront TMG 2010
Khi nhắc đến tường lửa dành cho doanh nghiệp, hầu hết ai có chút kiến thức
về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft,
Tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006. Phiên bản tiếp
theo của hệ thống tường lửa này được gọi với một tên khác: Forefront Threat
Management Gateway, đây là sản phẩm cung cấp tính năng bảo mật tích hợp giữa
Internet Security and Acceleration Server (ISA), Forefront Client Security,
Forefront Security for Exchange Server, Forefront Security for SharePoint.
Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên có thêm
nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá trình đảm
nhiệm chức năng tường lửa của mình.
11
Hình 1.1. Sự phát triển của Forefront TMG 2010
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA
2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều
hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003
mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7,
Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ điều hành như
Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software
mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010.
1.2.2. Quá trình phát triển của Forefront TMG 2010
Quá trình phát triển của MS Forefront TMG 2010 trải qua các giai đoạn
phát triển sau:
1/1997 - Microsoft Proxy Server v1.0 (Catapult)
18/03/2001 - Microsoft Internet Security and Acceleration Server 2000
(ISA Server 2000)
08/09/2004 - Microsoft Internet Security and Acceleration Server 2004
(ISA Server 2004)
17/10/2006 - Microsoft Internet Security and Acceleration Server 2006
(ISA Server 2006)
17/11/2009 - Microsoft Forefront Threat Management Gateway 2010
(Forefront TMG 2010)
12
Hình 1.2. Sơ đồ phát triển của Forefront TMG 2010
1.3. Các tính năng của TMG 2010
Các chức năng chính của TMG 2010.
Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra ngoài Internet và ngược lại.
Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi
truy cập web.
Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ email độc hại.
Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng
các dịch vụ và tài nguyên mạng trong nội bộ.
Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên ngoài.
Các tính năng nổi bật của TMG 2010.
Hình 1.3. Các chức năng chính của TMG 2010.
Enhanced Voice over IP: Cho phép kết nối và sử dụng VoIP thông qua TMG.
ISP Link Redundancy: Hỗ trợ load Balancing và Failover cho nhiều
đường truyền Internet.
13
Web Anti-Malware: Quét virus, phần mềm độc hại và các mối đe dọa
khác khi truy cập web.
URL-Filtering: Cho phép hoặc cấm truy cập các trang web theo
danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua
sắm, chat...
HTTPS Insdection: Kiểm soát các gói tin được mã hóa HTTPS để phòng
chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate.
E-Mail Protection Subscription service: Tích hợp với Forefront
Protection 2010 For Exchange Server và Exchange Edge Transport Server để
kiểm soát viruses, malware, spam Email trong hệ thống Mail Exchange.
Network Inspection System (NIS): Ngăn chặn các cuộc tấn công dựa
vào lỗ hổng bảo mật.
Network Access Protection (NAP) Integation: Tích hợp với NAP để
kiểm tra tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN.
Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPNSSTP.
Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server
2008 & Windows Server 2008 R2 64-bit.
Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ điều
hành Window Server 2008 64 bit. Đây là một hạn chế của TMG. Vì khác với
Windows Server 2003. Windows Server 2008 rất kén máy chủ. Nếu như Server
2003 ta hoàn toàn có thể lấy một máy tính thường, cấu hình tương đối là có thể cài
đặt được, hỗ trợ Driver khá nhiều, thì đối với Server 2008 rất khó để thực hiện việc
tương tự.
Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng gỡ rối
Troubleshooting, Chức năng này giúp cho người dùng không chuyên cũng có thể
quản trị dễ dàng TMG, Khi gặp bất cứ trục trặc nào chỉ cần am hiểu chút tiếng
14
Anh và Tiếng anh chuyên ngành là có thể tự gỡ rối, sửa chữa sự cố phát sinh mà
không cần đến IT chuyên nghiệp can thiệp.
Hình 1.4. Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010
1.4. Các mô hình Firewall trong TMG
Forefront TMG sử dụng một khái niệm “multi networking”. Để định
nghĩa topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG.
Sau khi đã tất cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các
mạng này với nhau dưới dạng các network rule. Forefront TMG hỗ trợ hai kiểu
network rule đó là:
Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai
mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.
NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất
giữa hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn
mạng bằng địa chỉ IP của network adapter tương ứng.
15
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule
cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.
1.4.1. Network template
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được
thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình.
Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả
những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện quản lý
TMG Management.
Hình 1.5. Network setup wizard
1.4.2. Cấu hình các thiết lập mạng
Launch Getting Started Wizard cho phép bạn chọn Network Template cần
thiết để cấu hình. Forefront TMG cung cấp cho bạn tới 4 Network Template:
Edge Firewall
16
3-Leg perimeter
Back firewall
Single network Adapter
a, Edge Firewall
Hình 1.6. Edge Firewall Template
Edge Firewall template là một Network Template cũ và kết nối mạng bên
trong với Internet, được bảo vệ bởi Forefront TMG. Một Edge Firewall template
điển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server. Đây
là tùy chọn mặc định và một trong những sử dụng trong đa số trường hợp. Điều
này sẽ tạo ra một mạng nội bộ mặc định và một mặc định ngoài mạng.
b, 3-Leg Perimeter
17
Hình 1.7. 3-Leg Perimeter Template
3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều
network adapter. Một network adapter kết nối mạng bên trong, một network
adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ
(Demilitarized Zone), cũng được gọi là Perimeter Network. Perimeter Network
gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ
bởi Forefront TMG. Các dịch vụ điển hình trong một DMZ là Web Server, DNS
Server hoặc WLAN network. Một 3-Leg Perimeter Firewall cũng thường được gọi
là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực”. Một DMZ đích
thực chính là vùng giữa hai Firewall khác nhau.
c, Back Firewall
18
Hình 1.8. Back Firewall Template
Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như
một bức tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức
tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng
như một mặc định mạng nội bộ. Back Firewall template có thể được sử dụng bởi
Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall.
Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên
ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZvà từ Front
Firewall.
d, Single Network Adapter
19
Hình 1.9. Single Network Adapter Template
Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức
tường lửa TMG. Điều này chỉ được sử dụng khi các bức tường lửa là có được sử
dụng như một máy chủ proxy web. Cấu hình này không hỗ trợ bất kỳ giao thức
khác hơn so với HTTP, HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN
Single Network Adapter template có một số hạn chế vì một Forefront
TMG server với chỉ một giao diện mạng không thể được sử dụng như một
Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có. Nó chỉ có các tính
năng dưới đây:
+ Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP
(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.
+ Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty.
+ Web publishing để bảo vệ các máy chủ FTP và published Web
+ Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng
được gọi là Outlook Anywhere trong Exchange Server 2007).
20
- Xem thêm -