Tài liệu ứng dụng giải pháp bảo mật microsoft forefront tmg 2010 trong thiết kế mạng cho công ty thhh huyndai merchant marine việt nam

MỤC LỤC MỤC LỤC i DANH MỤC HÌNH ẢNH iii LỜI CẢM ƠN iv LỜI CAM ĐOAN v LỜI MỞ ĐẦU vi Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010 1 1.1. Tổng quan về Firewall .................................................................................1 1.1.1. Khái niệm Firewall...............................................................................1 1.1.2. Chức năng chính...................................................................................1 1.1.3. Nguyên lý hoạt động của Firewall........................................................2 1.1.4. Ưu nhược điểm của Firewall ................................................................3 1.1.5. Những hạn chế của Firewall.................................................................3 1.2. Giới thiệu về Forefront TMG 2010 ............................................................4 1.2.1. Lịch sử về Forefront TMG 2010 ..........................................................4 1.2.2. Quá trình phát triển của Forefront TMG 2010 .....................................5 1.3. Các tính năng của TMG 2010......................................................................5 1.4. Các mô hình Firewall trong TMG ...............................................................8 1.4.1. Network template .................................................................................8 1.4.2. Cấu hình các thiết lập mạng .................................................................9 1.4.3. Forefront TMG cung cấp đầy đủ các tính năng của một Firewall......11 1.5. Giao diện của TMG 2010 ..........................................................................15 1.6. Các loại TMG Client .................................................................................18 1.6.1. Web Proxy Client ...............................................................................18 1.6.3. Cấu hình Server-Side..........................................................................19 1.6.4. SecureNET Clients .............................................................................20 1 1.7. Lý do chọn TMG thay vì ISA....................................................................21 1.8. Yêu cầu hệ thống .......................................................................................25 Chương 2: KHẢO SÁT PHÂN TÍCH HỆ THỐNG MẠNG CÔNG TY 27 2.1. Công ty TNHH Huyndai Merchant Marine Việt Nam ..............................27 2.1.1. Giới thiệu công ty...............................................................................27 2.1.2. Sơ đồ bộ máy tổ chức công ty ............................................................27 2.2. Tình hình hệ thống mạng hiện tại của công ty...........................................29 2.2.1. Sơ đồ tổ chức máy tính và các phòng ban ..........................................29 2.2.2. Hiện trạng cơ sở vật chất mạng công ty .............................................30 2.2.3. Sơ đồ mạng.........................................................................................31 2.1.4. Nhận xét .............................................................................................31 2.1.5. Nhu cầu của công ty ...........................................................................32 2.3. Đề xuất giải pháp .......................................................................................34 2.4. Danh mục các server..................................................................................37 Chương 3: TRIỂN KHAI VÀ CẤU HÌNH HỆ THỐNG 38 3.1. Cài đặt TMG 2010 .....................................................................................38 3.1.1. Mô hình mô phỏng cài đặt..................................................................38 3.1.2. Cài đặt TMG 2010 trên máy TMG.....................................................39 3.1.3. Cấu hình mạng và hệ thống................................................................40 3.2. Cấu hình 1 số tính năng cơ bản của TMG 2010 ........................................43 3.2.1. DNS Query .........................................................................................43 3.2.2. Web Access ........................................................................................45 3.2.3. Malware Inspection ............................................................................46 3.2.4. HTTPS Inspection ..............................................................................48 3.2.5. Cấm vào Internet trong thời gian định sẵn .........................................51 3.2.6. Intrusion Detection .............................................................................52 3.2.7. Quản lý băng thông với Bandwidth Splitter.......................................54 3.2.8. Các dịch vụ khác ................................................................................55 2 3.3. Một số kết quả thực hiện............................................................................56 KẾT LUẬN 59 TÀI LIỆU THAM KHẢO 61 3 DANH MỤC HÌNH ẢNH Hình 1.1. Sự phát triển của Forefront TMG 2010 4 Hình 1.2. Sơ đồ phát triển của Forefront TMG 2010 5 Hình 1.3. Các chức năng chính của TMG 2010. 6 Hình 1.4. Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010 7 Hình 1.5. Network setup wizard 8 Hình 1.6. Edge Firewall Template 9 Hình 1.7. 3-Leg Perimeter Template 9 Hình 1.8. Back Firewall Template 10 Hình 1.9. Single Network Adapter Template 11 Hình 1.10 Giao diện hiển thị các rule đang sử dụng giao thức DNS 16 Hình 1.11. Giao diện cấu hình truy cập Web 16 Hình 1.12. Giao diện tạo một tuyến tĩnh 17 Hình 1.13. Launch Getting Started Wizard trong cây giao diện17 Hình 1.14. Giao diện tạo một nhóm Rule 18 Hình 2.1. Sơ đồ tổ chức bộ máy công ty 27 Hình 2.2. Tổ chức máy tính và các phòng ban của công ty 29 Hình 2.3. Sơ đồ mạng công ty hiện nay 31 Hình 2.4. Mô hình mạng mới cho công ty36 Hình 3.1. Mô phỏng mạng triển khai TMG 38 Hình 3.2. Giao diện cài đặt -> Tùy chọn vào Run Preparation Tool 39 Hình 3.3. Cài đặt Run Intallation Winzard 40 Hình 3.4. Giao diện quản trị Forefront TMG 43 Hình 3.5. Tạo mới Access rule 43 Hình 3.6. Đặt tên cho Access Rule44 Hình 3.7. Apply để lưu cấu hình 44 Hình 3.8. Nhấn nút Install Certificate và chấp nhận nơi lưu trữ50 Hình 3.9. IE thông báo chứng chỉ có vấn đề 51 Hình 3.10. Chọn hình thức cảnh báo. 53 Hình 3.11. Cấu hình Superscan và tiến hành scan 54 Hình 3.12. Thông báo xâm nhập bên máy TMG 54 Hình 3.19. Truy cập web nội bộ 58 LỜI CẢM ƠN 4 Em xin chân thành cảm ơn các thầy cô khoa Truyền thông & Mạng Máy Tính đã truyền đạt vốn kiến thức quý báu cho em trong suốt quá trình học tập để em có thêm nhiều kiến thức mới, tích lũy thêm vốn hiểu biết của mình, phục vụ cho công việc sau này. Đặc biệt em xin gửi lời cảm ơn đến thầy Trần Duy Minh, thầy đã giúp đỡ em rất nhiều trong quá trình quá trình thực hiện đồ án và tạo điều kiện tốt nhất để em có thể thực hiện được đề tài này. Trong quá trình tìm hiểu, áp dụng vào thực tế, còn nhiều hạn chế và bỡ ngỡ cũng như kinh nghiệm thực tế, do đó không tránh khỏi những thiếu sót, em rất mong nhận được những ý kiến đóng góp của các thầy cô để em có thể hoàn thiện hơn. Cuối cùng, em xin kính chúc các thầy cô khoa Truyền thông & Mạng Máy Tính và đặc biệt là thầy Trần Duy Minh dồi dào sức khỏe để có thể hướng dẫn, truyền đạt những kinh nghiệm, kiến thức quý báu cho chúng em. Xin chân thành cảm ơn! Thái Nguyên, tháng 6 năm 2016 Sinh viên Hạ Văn Hựu 5 LỜI CAM ĐOAN Sau quá trình học tập tại trường Đại học công nghệ thông tin và truyền thông Thái Nguyên, có sự kết hợp, vận dụng giữa lý thuyết và thực tế, em đã tìm hiểu nghiên cứu và tập hợp các tài liệu để hoàn thành đồ án tốt nghiệp của mình. Em xin cam đoan đồ án tốt nghiệp này là do bản thân em tự tìm hiểu, nghiên cứu và hoàn thành dưới sự hướng dẫn của thầy giáo ThS. Trần Duy Minh. Em xin cam đoan đồ án này chưa từng được sử dụng để bảo vệ ở bất cứ học vị nào. Thái Nguyên, tháng 6 năm 2016 Sinh viên Hạ Văn Hựu 6 LỜI MỞ ĐẦU  Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xu hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành công nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích cực của các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Công nghệ thông tin – Tin học ứng dụng. Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triển mới của tương lại, rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước. Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng. Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật được triển khai với nhiều hình thức nhằm giữ tính toàn vẹn thông tin của doanh nghiệp được ra đời. Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm khiên che chắn khá vững chắc cho mạng doanh nghiệp và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là chủ đề mà em đã tìm hiểu và nghiên cứu về đề tài: “Ứng dụng giải pháp bảo mật Microsoft Forefront TMG 2010 trong thiết kế mạng cho công ty THHH Huyndai Merchant Marine Việt Nam”. 7 Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010 1.1. Tổng quan về Firewall 1.1.1. Khái niệm Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. 1.1.2. Chức năng chính  Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:  Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).  Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).  Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.  Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. 8  Kiểm soát người sử dụng và việc truy nhập của người sử dụng.  Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.  Các thành phần  Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây: + Bộ lọc packet (packet-filtering router) + Cổng ứng dụng (application-level gateway hay proxy server) + Cổng mạch (circuite level gateway) + Bộ lọc paket (Paket filtering router) 1.1.3. Nguyên lý hoạt động của Firewall Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:  Địa chỉ IP nơi xuất phát ( IP Source address)  Địa chỉ IP nơi nhận (IP Destination address)  Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)  Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)  Cổng TCP/UDP nơi nhận (TCP/UDP destination port) 9  Dạng thông báo ICMP ( ICMP message type)  Giao diện packet đến ( incomming interface of packet)  Giao diện packet đi ( outcomming interface of packet) Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. 1.1.4. Ưu nhược điểm của Firewall  Ưu điểm: Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.  Nhược điểm. Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Cổng ứng dụng (application-level getway). 1.1.5. Những hạn chế của Firewall 10 Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. 1.2. Giới thiệu về Forefront TMG 2010 1.2.1. Lịch sử về Forefront TMG 2010 Khi nhắc đến tường lửa dành cho doanh nghiệp, hầu hết ai có chút kiến thức về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft, Tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006. Phiên bản tiếp theo của hệ thống tường lửa này được gọi với một tên khác: Forefront Threat Management Gateway, đây là sản phẩm cung cấp tính năng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA), Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint. Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên có thêm nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá trình đảm nhiệm chức năng tường lửa của mình. 11 Hình 1.1. Sự phát triển của Forefront TMG 2010 Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010. 1.2.2. Quá trình phát triển của Forefront TMG 2010 Quá trình phát triển của MS Forefront TMG 2010 trải qua các giai đoạn phát triển sau:  1/1997 - Microsoft Proxy Server v1.0 (Catapult)  18/03/2001 - Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000)  08/09/2004 - Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004)  17/10/2006 - Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006)  17/11/2009 - Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) 12 Hình 1.2. Sơ đồ phát triển của Forefront TMG 2010 1.3. Các tính năng của TMG 2010  Các chức năng chính của TMG 2010.  Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra ngoài Internet và ngược lại.  Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi truy cập web.  Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ email độc hại.  Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng các dịch vụ và tài nguyên mạng trong nội bộ.  Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên ngoài.  Các tính năng nổi bật của TMG 2010. Hình 1.3. Các chức năng chính của TMG 2010.  Enhanced Voice over IP: Cho phép kết nối và sử dụng VoIP thông qua TMG.  ISP Link Redundancy: Hỗ trợ load Balancing và Failover cho nhiều đường truyền Internet. 13  Web Anti-Malware: Quét virus, phần mềm độc hại và các mối đe dọa khác khi truy cập web.  URL-Filtering: Cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat...  HTTPS Insdection: Kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate.  E-Mail Protection Subscription service: Tích hợp với Forefront Protection 2010 For Exchange Server và Exchange Edge Transport Server để kiểm soát viruses, malware, spam Email trong hệ thống Mail Exchange.  Network Inspection System (NIS): Ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật.  Network Access Protection (NAP) Integation: Tích hợp với NAP để kiểm tra tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN.  Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPNSSTP.  Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit. Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ điều hành Window Server 2008 64 bit. Đây là một hạn chế của TMG. Vì khác với Windows Server 2003. Windows Server 2008 rất kén máy chủ. Nếu như Server 2003 ta hoàn toàn có thể lấy một máy tính thường, cấu hình tương đối là có thể cài đặt được, hỗ trợ Driver khá nhiều, thì đối với Server 2008 rất khó để thực hiện việc tương tự. Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng gỡ rối Troubleshooting, Chức năng này giúp cho người dùng không chuyên cũng có thể quản trị dễ dàng TMG, Khi gặp bất cứ trục trặc nào chỉ cần am hiểu chút tiếng 14 Anh và Tiếng anh chuyên ngành là có thể tự gỡ rối, sửa chữa sự cố phát sinh mà không cần đến IT chuyên nghiệp can thiệp. Hình 1.4. Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010 1.4. Các mô hình Firewall trong TMG Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network rule. Forefront TMG hỗ trợ hai kiểu network rule đó là:  Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.  NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP của network adapter tương ứng. 15 Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối. 1.4.1. Network template Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình. Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện quản lý TMG Management. Hình 1.5. Network setup wizard 1.4.2. Cấu hình các thiết lập mạng Launch Getting Started Wizard cho phép bạn chọn Network Template cần thiết để cấu hình. Forefront TMG cung cấp cho bạn tới 4 Network Template:  Edge Firewall 16  3-Leg perimeter  Back firewall  Single network Adapter a, Edge Firewall Hình 1.6. Edge Firewall Template Edge Firewall template là một Network Template cũ và kết nối mạng bên trong với Internet, được bảo vệ bởi Forefront TMG. Một Edge Firewall template điển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server. Đây là tùy chọn mặc định và một trong những sử dụng trong đa số trường hợp. Điều này sẽ tạo ra một mạng nội bộ mặc định và một mặc định ngoài mạng. b, 3-Leg Perimeter 17 Hình 1.7. 3-Leg Perimeter Template 3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network adapter. Một network adapter kết nối mạng bên trong, một network adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng được gọi là Perimeter Network. Perimeter Network gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG. Các dịch vụ điển hình trong một DMZ là Web Server, DNS Server hoặc WLAN network. Một 3-Leg Perimeter Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực”. Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau. c, Back Firewall 18 Hình 1.8. Back Firewall Template Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng nội bộ. Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall. Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZvà từ Front Firewall. d, Single Network Adapter 19 Hình 1.9. Single Network Adapter Template Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa TMG. Điều này chỉ được sử dụng khi các bức tường lửa là có được sử dụng như một máy chủ proxy web. Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP, HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có. Nó chỉ có các tính năng dưới đây: + Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP (HTTPS), hoặc File Transfer Protocol (FTP) cho các download. + Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty. + Web publishing để bảo vệ các máy chủ FTP và published Web + Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là Outlook Anywhere trong Exchange Server 2007). 20