Đồ Án Xây dựng giải pháp bảo mật dựa trên nền tảng ứng dụngmicrosoft forefront tmg 2010 cho công ty cỗ phầ

LỜI NÓI ĐẦU
Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xu hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành công nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích cực của các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông – Tin Học.
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước. Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng.
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh nghiệp được ra đời. ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối mạng được cung cấp bở hãng Cisco. ISA (Internet Sercurity Acceleration) Server - ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói tin, được cung cấp bởi hãng Microsoft.
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đã chọn và cùng thảo luận - ứng dụng Microsoft Forefront TMG 2010 trong bảo mật mạng doanh nghiệp.
Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này và chính thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management Gateway (Forefront TMG) đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sự Forefront TMG chính là phiên bản tích hợp của:
 Internet Security and Acceleration Server (ISA)
 Forefront Client Security
 Forefront Security for Exchange Server
 Forefront Security for SharePoint
Chính vì là một sản phẩm ra đời sau và thừa hưởng mọi tinh hoa của các ứng dụng trên nên Forefront TMG có khả năng:
 Bảo vệ hệ thống đa dạng hơn
 Ngăn chặn được sự lây nhiễm virus, malware trên phương diện rộng và hiệu quả
Mặc dù ra đời sau tuy nhiên ứng dụng Microsoft Forefront Threat Management Gateway 2010 đã sớm khẳng định được vị thế của mình. Rõ nét là đang được nhiều doanh nghiệp tìm hiểu và áp dụng Microsoft Forefront TMG 2010 vào mô hình mạng của doanh nghiệp mình

MỤC LỤC

LỜI CẢM ƠN 3
LỜI NÓI ĐẦU 4
NHẬN XÉT CỦA DOANH NGHIỆP 5
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN 6
MỤC LỤC 7
I. GIỚI THIỆU TỔNG QUAN 14
1. TỔNG QUAN VỀ FOREFRONT TMG 2010 14
2. LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010 16
2.1. Lịch sử 16
2.2. Quá trình phát triển: 17
3. PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010 18
4. CÁC TÍNH NĂNG CỦA TMG 2010 19
4.1. Các chức năng chính 19
4.2. Các tính năng nổi bật của TMG 2010 19
4.3. System Requirement 21
5. CÁC MÔ HÌNH FIREWALL 22
5.1. Network template. 22
5.2. Cấu hình các thiết lập mạng 23
5.2.1. Edge Firewall 23
5.2.2. 3-Leg Perimeter 23
5.2.3. Back Firewall 24
5.2.4. Single Network Adapter 24
II. NHỮNG TÍNH NĂNG MỚI CỦA FOREFRONT TMG 2010 26
1. GIỚI THIÊU TMG 26
2. GIAO DIỆN QUẢN LÝ 27
3. CÁC TÍNH NĂNG MỚI 28
4. SỰ KHÁC NHAU GIỮA TMG VÀ UAG LÀ GÌ? 34
4.1. Việc kích hoạt truy cập từ bất cứ nơi nào 34
4.2. Những điểm mới trong UAG 35
4.3. Thiết kế mạng bảo vệ 36
4.3.1. Triển khai UAG 36
4.3.2. Triển khai TMG? 37
4.3.2.1. Edge Firewall 38
4.3.2.2. 3-Leg perimeter 39
4.3.2.3. Back Firewall 40
4.3.2.4. Single-NIC 40
5. YÊU CẦU HỆ THỐNG 41
5.1. Yêu cầu phần cứng: 41
5.2. Yêu cầu Phần mềm 42
5.3. Hạ tầng mạng 43
5.3.1. Tên phân giải 43
5.3.2. Xác thực 44
5.4. Triển khai trong các môi trường ảo 45
6. PHÂN TÍCH YÊU CẦU MẠNG 45
7. XÁC ĐỊNH HỒ SƠ TRAFFIC 45
7.1. Bản đồ mạng 46
7.2. Bản đồ ứng dụng 46
8. GIẢI QUYẾT CÁC MẠNG PHỨC TẠP 50
9. DNS TRONG TMG 50
9.1. Hệ thống giải quyết tên phân giải như thế nào ? 51
9.1.1. Edge hoặc Perimeter trong Workgroup 52
9.1.2. Edge hoặc Perimeter trong Domain 54
9.2. Ảnh hưởng của DNS 54
9.3. DNS Cache trong TMG 54
10. CHỌN NETWORK TEMPLATE 55
10.1. Edge Firewall Template 55
10.2. 3-Leg Perimeter mạng Template 56
10.3. Back Firewall Template 57
10.4. Single NIC Template 58
10.5. Join Firewall TMG vào Domain hoặc Workgroup 60
11. Di trú TMG 61
12. CÁC LOẠI TMG CLIENT 62
12.1. Web Proxy Client 62
12.2. Web Proxy Client làm việc như thế nào? 63
12.3. Cấu hình Server-Side 65
12.4. Sử dụng Web Proxy Client 66
12.5. SecureNET Clients 67
12.6. SecureNet Client làm việc như thế nào? 68
12.7. SecureNet Client advantages 69
12.8. SecureNet Client Disadvantages 69
12.9. Forefront TMG Client 70
13. GIAO DIỆN TMG 73
13.1. TMG 2010 73
13.2. Monitoring 74
13.3. Firewall policy 74
13.4. Chính sách Web Access 75
13.5. E-Mail Policy 75
13.6. Intrusion Prevention System 77
14. NEW WIZARDS 80
14.1. The Getting Started Wizard 80
14.2. Network Setup Wizard 81
14.3. System Configuration Wizard 82
14.4. Deployment Wizard 82
14.5. The Web Access Policy Wizard 83
14.6. The Join Array and Disjoin Array Wizards (TMG 2010 only) 83
14.7. The Connect to Forefront Protection Manager 2010 Wizard (TMG 2010 only) 84
14.8. The Configure SIP Wizard (TMG 2010 only) 84
14.9. The Configure E-Mail Policy Wizard (TMG 2010 only) 85
14.10. The Enable ISP Redundancy Wizard (TMG 2010 only) 85
15. CẤU HÌNH TMG NETWORKS 85
15.1. Route Relationships 85
15.2. NAT Relationships 86
15.3. Mạng Rules 89
15.4. Built-In Mạng 90
15.5. Cấu hình mạng được bảo vệ của bạn 92
15.6. Chứng thực Traffic từ mạng được bảo vệ 93
16. CÂN BẰNG TẢI 94
16.1. ISP Redundancy là gì? 94
16.2. Enabling ISP-R 94
16.3. NLB Kiến trúc 95
16.4. Sử dụng TMG Management Console 96
17. NETWORK INSPECTION SYSTEM 97
17.1. Thực hiện kiểm tra hệ thống mạng 98
17.2. Các kiểu tấn công 100
18. CACHING 101
18.1. Hiểu biết về cache Proxy 101
18.2. Công việc Caching như thế nào? 101
19. MALWARE INSPECTION 103
19.1. Tìm hiểu về Inspection Malware trong TMG 103
19.2. Các tùy chỉnh trong Malware Inspection 105
19.2.1. Inspection Settings 105
19.2.2. Content Delivery 106
19.2.3. Storage 107
19.2.4. Update Configuration 107
19.2.5. License 108
19.3. URL Filtering 109
19.3.1. How URL Filtering Works 109
19.3.2. Các thành phần Tham gia trong URL Filtering 112
19.4. E-Mail Protection 113
20. HTTP AND HTTPS INSPECTION TRONG ỨNG DỤNG LỌC WEB PROXY 115
21. PUBLISHING SERVERS 116
21.1. Làm thế nào để Publish một máy chủ Web? 116
21.2. Publishing a Web Server Using HTTPS 116
21.3. Installing Certificates on TMG 117
21.4. Creating an https Web Listener 123
21.5. Creating a Secure Web publishing rule 127
22. REMOTE ACCESS 132
22.1. khái niệm VPN 132
22.1.1. Tunnel types 133
22.1.2. Protocols 133
22.1.2.1. point-to-point tunneling protocol (pptp) 133
22.1.2.2. Layer-two tunneling protocol Over Ipsec (L2tp/Ipsec) 134
22.1.2.3. Secure Socket Tunneling Protocol (SSTP) 134
22.1.2.4. Authentication 134
22.1.3. So sánh Công nghệ VPN 136
22.1.4. Tích hợp NAP 137
23. Giới thiệu về UAG DirectAccess 138
23.1. DirectAccess làm việc như thế nào? 138
23.2. Kết nối máy khách DirectAccess 139
III. PHÂN TÍCH NỘI DUNG ĐỀ TÀI 142
1. KHÁO SÁT NHU CẦU DỰ ÁN 142
1.1. Tình huống đề tài: 142
1.2. Mô hình mạng logic tại trụ sở 143
1.3. Sơ đồ luận lý chi tiết 144
1.4. Sơ đồ tổ chức của công ty 144
1.5. Nhu cầu của cty D.M.A: 145
2. ĐỀ XUẤT GIẢI PHÁP 145
2.1. Các tính năng mới: 145
2.2. Những tính năng cốt lõi: 150
I. Server Publishing: Bảo mật truy cập đến các server trong hệ thống nội bộ 150
II. Virtual Private Networking (VPN) (Hỗ trợ người dung di động và làm việc hiệu quả, Hỗ trợ kết nối an toàn giữa các site với VPN thông ra Internet). 151
III. Các tính năng quản lý 152
IV. Monitoring and Reporting: 152
3. DANH MỤC THIẾT BỊ 154
3.1. Danh mục các server 154
3.2. Cấu hình phần cứng đề nghị cho máy cài đặt Forefront TMG 154
3.3. Bảng báo giá thiết bị 155
IV. THỰC HIỆN 156
1. Cài đặt forefront tmg 2010 156
2. Cấu hình mô hình mạng 3-Leg perimeter 158
3. Cấu hình các Access Rule 162
3.1. Web Access 162
3.2. DNS Query 167
3.3. Malware Inspection 170
3.4. HTTPS Inspection 174
3.5. Caching (tăng tốc độ truy cập web) 180
3.6. URL Filtering 186
3.7. DMZ join Domain 187
4. Cấu hình network ispection system (NIS) 191
5. Cấu hình kết nối vpn site to site 197
6. Cấu hình kết nối vpn client to site 204
7. Cấu hình Intrusion Detection 208
8. Bảo mật hệ điều hành với forefront client security 210
9. Cấu hình forefront unifiel access gateway 2010 215
10. Bảo mật máy chủ Exchange 221
11. Cấu hình ISP Redundancy (Load balancing) 223
12. Thực hiện backup và restore 227
V. ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN 234
1. ĐÁNH GIÁ ĐỀ TÀI 234
1.1. Khả năng áp dụng và mở rộng: 234
1.1.1. Khả năng áp dụng của Forefront: 234
1.1.2. Khả năng mở rộng của Forefront 235
1.2. Khắc phục những mặt còn hạn chế 235
1.3. Hạn chế của giải pháp hiện tại: 236
1.3.1. Cấu hình phần cứng: 236
1.3.2. Các dịch vụ cơ sở hạ tầng 237
1.3.3. Nối mạng 237
VI. TÀI LIỆU THAM KHẢO 241
VII. PHỤ LỤC 242