Mục tiêu
Giới thiệu về Microsoft Forefront Threat Management
Gateway 2010 và các tính năng của nó
Yêu cầu cấu hình hệ thống
Cài đặt và khởi tạo
Các khái niệm về cấu hình
Thiết lập Firewall dựa trên Access Policy
Kiểm tra kết quả
47 trang |
Chia sẻ: tieuaka001 | Lượt xem: 968 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu An toàn và Bảo mật thông tin - Bài 5: Xây dựng hệ thống tường lửa mạng doanh nghiệp trên Microsoft Forefont Threat Management Gateway 2010 (TMG), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Bài 5
COM3022-An toàn & Bảo mật thông tin
Bài 5
(TMG)
Xây dựng hệ thống tường lửa
mạng doanh nghiệp
trên
Mục tiêu
Giới thiệu về Microsoft Forefront Threat Management
Gateway 2010 và các tính năng của nó
Yêu cầu cấu hình hệ thống
Cài đặt và khởi tạo
Các khái niệm về cấu hình
Thiết lập Firewall dựa trên Access Policy
Kiểm tra kết quả
3
Giới thiệu về TMG
Lớp bảo vệ phía trước và các sản phẩm truy cập
Trước kia Hiện nay
Bảo vệ
mạng
Truy cập
mạng
Forefront Edge Security và Access products cung cấp bảo vệ hệ thống mạng và
các ứng dụng trung tâm. Các chính sách truy cập đến kiến trúc hệ thống CNTT
của doanh nghiệp.
Tích hợp và bảo vệ toàn diện các
nguy cơ an ninh trên Internet.
Nền tảng hợp nhất cần thiết
cho tất doanh nghiệp truy
cập từ xa.
Quang cảnh mối hiểm họa an ninh
Tấn công bị giảm, Các mối đe dọa tăng
Các mối đe dọa tinh vi ngày càng tăng
Các đe dọa đã di chuyển tới tầng ứng dụng
Các mối đe dọa khác xuất hiện
• Lừa đảo
• Spam và email có mã độc
• Tổng hợp nhiều hiểm họa.
Các giá trị của TMG
Tường lửa– Kiểm soát chính sách
truy cập mạng tại biên.
Cổng truy cập Web an toàn – Bảo vệ
người dùng từ các mối đe dọa của trình duyệt.
Secure E-mail Relay – Bảo vệ
người dùng từ các mối hiểm hoạ từ Email.
Cổng truy cập từ xa– Cho phép người dùng
truy cập từ xa đến các tài nguyên của công ty.
Ngăn cản sự xâm nhập trái phép – Bảo vệ các
máy tính người dùng và Server khỏi sự xâm nhập .
Toàn diện
Tích hợp
Đơn giản
Các tình huống triển khai Forefront TMG
•Tất cả các giải pháp cho doanh nghiệp vừa và nhỏ
•Firewall, VPN, Web security, IPS, e-mail relay
Unified Threat
Management
(UTM)
•Authenticating proxy with security
•Ngăn chặn Virus Web và lọc URL
•Giám sát các gói tin HTTP and HTTPS
Secure Web
Gateway
•Secure Web publishing
•Dial-in VPN
•Site to site VPN
Remote Access
Gateway
•Antispam
•Antivirus
•E-mail filtering
Secure E-mail
Relay
Tổng hợp các đặc tính của TMG
• VoIP traversal
• Enhanced NAT
• ISP link
redundancy
Firewall
•HTTP antivirus/
antispyware
•URL filtering
•HTTPS forward
inspection
Secure Web
Access
•Exchange Edge
integration
•Antivirus
•Antispam
E-mail
Protection
•Network
inspection
system
Intrusion
Prevention
•NAP integration
with client VPN
•SSTP
integration
Remote
Access
•Array management
•Change tracking
•Enhanced reporting
•W2K8, native 64-bit
Deployment and
Management
•Malware protection
•URL filtering
•Intrusion prevention
Subscription
Services
Tường lửa tầng mạng
Tường lửa tầng ứng dụng
Bảo vệ truy cập Internet (proxy)
Basic OWA and SharePoint publishing
IPSec VPN (remote and site-to-site)
Web caching, HTTP compression
Ngăn ngừa virus Web và các phần mềm hại
Lọc địa chỉ URL
Ngăn ngừa phần mềm độc hại với Email
Ngăn ngừa xâm nhập mạng
Tổng kết các đặc điểm
So sánh với ISA Server 2006 ISA Server
2006
Forefront
TMG
Mới
Mới
Mới
Mới
Nâng cao giao diện, quản lý và báo cáo Mới
Exchange publishing (RPC over HTTP)
Windows Server® 2008 R2, 64-bit (only) Mới
E
Giấy phép Forefront TMG
Hai phiên bản của TMG
Phiên bản Standard
Full UTM
Phiên bản Enterprise
Khả năng mở rộng và quản lý
Bảo vệ Web Bảo vệ E-mail
Subscriptions
So sánh phiên bản Forefront TMG
Standard Edition Enterprise Edition
Số CPUs 4 CPUs Không giới hạn
Array/NLB/CARP
support
Enterprise
management
Yes, with added ability for
EMS to manage SEs
Publishing
VPN support
Forward proxy/cache,
compression
Network IPS (NIS)
E-mail protection Requires Microsoft® Exchange Server License (Server + CALs)
and installation by the admin
Cài đặt và khởi tạo
Yêu cầu hệ thống
14
Minimum Recommended
Processor 2 core (1 CPU x dual core)
64-bit processor
4 core (2 CPU x dual core or
1 CPU x quad core) 64-bit
processor
Memory 2GB RAM 4 GB RAM
Hard Disk Space 2.5 GB ổ đĩa * 2.5 GB ổ đĩa*
Hard Disks One local hard disk partition
formatted with NTFS
Two disks for system and logging,
and one for caching and malware
inspection
Network MộT Card mạng với việc truyền
bên trong hệ thống
Mỗi mạng kết nối với TMG Server
cần 1 Card mạng.
Operating System Windows Server® 2008 x64 with Service Pack 2, or
Windows Server® 2008 R2
* Nếu sử dụng Cache thì cần thêm dung lượng ổ đĩa.
Yêu cầu trước cài đặt
Cài đặt cơ bản
• Đã kết nối được với mạng, đã được cấu hình DNS Server
• Yêu cầu các thành phần của hệ điều hành:
• Windows® Roles and Features
• Microsoft® .NET Framework 3.5 SP1
• Windows Web Services API
• Windows Installer 4.5
Cài đặt
16
Cài đặt
17
Hệ thống TMG chia hệ thống mạng của ta thành 2
phần: Internal (LAN) và External ( Bên ngoài)
Khai báo dải địa chỉ IP bên trong Internal (LAN) theo
Card mạng hoặc theo dải địa chỉ (Add private/Range)
Khởi tạo cấu hình
Getting Started Wizard
18
Thiết lập cấu hình loại mạng
Chọn loại kiến trúc mạng:
• Edge firewall: Đứng ở giữa bảo vệ mạng bên trong
(LAN/Internal) và External /Internet.
• 3-Leg perimeter
• Back firewall
• Single network adapter
19
Network Setup Wizard
Định nghĩa IP cho
từng card mạng
Gán card mạng đến
mỗi mạng chính xác.
Thiết lập cấu hình mạng
Network Setup Wizard
20
Định nghĩa tên
máy,tên domain và
DNS Server
Thiết lập cấu hình hệ thống
System Configuration Wizard
21
Thiết lập triển khai cấu hình
Kích hoạt License
Cho phép ngăn ngừa mailware và ngăn chặn sự xâm nhập.
Configure signature update schedule and response policy
Join vào mục nâng cao kinh nghiệm.
22
Deployment Wizard
Thiết lập triển khai cấu hình
Deployment Wizard
23
Các khái niệm cấu hình cơ bản
Các khái niệm cơ bản về cấu hình
Forefront TMG Hỗ trợ không giới hạn các Card mạng
• Bị giới hạn bởi số lượng card mạng theo phần cứng
25
Network Adapters
Các khái niệm cấu hình
26
Networks
Khái niệm mạng (Networks) : gồm Internal, DMZ (Server),
External (bên ngoài), Localhost: TMG
Internal
Các khái niệm cấu hình
Mô hình cấu hình mạng là hạ tầng mạng của doanh nghiệp
• Chứa tất các địa chỉ IP cho card mạng
• Không thể trùng với địa chỉ mạng (NetID) của mạng khác
• Địa chỉ tĩnh (tốt hơn) hoặc địa chỉ động
27
Networks
Các khái niệm cấu hình
Network Sets (Tập hợp các mạng): Nhóm một hoặc nhiều
mạng
DMZ
Networks
Các khái niệm cấu hình
Network Sets được sử dụng để nhóm một hoặc
nhiều mạng
• Được định nghĩa bởi việc chọn các mạng
• Được định nghĩa bởi mạng và các policy rules
29
Network Sets
Các khái niệm cấu hình
Định nghĩa cho phép phân luồng gói tin
Xác định mối quan hệ giữa hai mạng
• Route
• Bi-directional
• Source address not modified
• NAT
• Uni-directional
• Source address is modified
Được yêu cầu cho non-Web access và Server Publishing rules
• Lọc Web proxy bỏ qua Network Rule
30
Network Rules
Các khái niệm cấu hình
Đặc điểm mới: NAT nâng cao (Enhanced NAT)
• Chỉ rõ địa chỉ IP được sử dụng khi thực hiện NAT
31
Network Rules
Các khái niệm cấu hình
Hiển thị thông tin bảng định tuyến được sử dụng giữa các
mạng
• Được thiết lập qua lệnh route –p add hoặc giao diện đồ họa.
32
Routing (Định tuyến)
Forefront TMG Policy
Ba loại luật (rules):
1. Network rules
2. System policy
3. Firewall policy
33
Firewall Policy: Giám sát và lọc gói tin giữa mạng bên trong (Internal) và bên ngoài
(Internet). Firewall Policy tạo thành các tập rule sau:
Luật truy cập (Access rules): Kiểm soát truy cập Web bên ngoài (Từ PC -> Internet)
Web publishing rules : Kiểm soát truy cập từ Internet vào bên trong các Web Server
Server publishing rules: Kiểm soát truy cập vào các Publishing Server.
Tình huống sử dụng 1 Card mạng
Forefront TMG hỗ trợ sử dụng một card mạng
Các tính huống được sử dụng
• Secure Web Gateway (chuyển tiếp Web proxy và cache)
• Web Publishing (reverse Web proxy và cache)
• Remote client VPN access
Các tính huống không hỗ trợ
• Kiểm tra tầng ứng dụng ( ngoại trừ cho Web proxy)
• Server publishing
• Non-Web clients
• Firewall client
• Secure NAT
• Site-to-site VPNs
34
Tình huống áp dụng một card mạng
35
Internal
Local Host
VPN
Clients
Một số lỗi cấu hình
Nhiều default gateways
• Chỉ định nghĩa duy nhất có 1 default gateway
Không thêm được các địa chỉ đến các mạng
• Đảm bảo đã thêm vào đầy đủ các mạng
Phân giải địa chỉ DNS
• DNS Server được liệt kê là “nội bộ + Internet), không
phải cho mỗi Card mạng
• Sử dụng DNS Server nội bộ (AD) hoặc DNS Server cục
bộ khi muốn sử dụng các dịch vụ nội bộ và sử dụng
điều kiện chuyển tiếp khi cần dùng Internet.
36
Tạo Access Rule để truy cập Internet
37
Để cho phép các máy tính từ bên trong (Internal) truy cập
được Internet (External) ta cần truy các giao thức sau: DNS,
HTTP, HTTPS
Firewall Policy chọn New > Access Rule
Tạo Access Rule để truy cập Internet
38
Đặt tên cho Rule là: Allow Access Web
Tạo Access Rule để truy cập Internet
39
Rule Action (Hành động gồm có 2 loại: Allow
(cho phép) và Deny (Cấm)
Tạo Access Rule để truy cập Internet
40
Chọn 3 giao thức cần thiết cho truy cập Internet
là: DNS, HTTP và HTTPS
Tạo Access Rule để truy cập Internet
41
Chọn nguồn (Access Rule Source) là Internal
(Từ bên trong)
Tạo Access Rule để truy cập Internet
42
Chọn Đích (Access Rule Destination) là External
(Bên ngoài TMG - Internet)
Tạo Access Rule để truy cập Internet
43
Chọn các User /Group được truy cập
Tạo Access Rule để truy cập Internet
44
Chọn Finish và nhấn
nút Apply để áp dụng
Rule vừa tạo
Tạo Access Rule để truy cập Internet
45
Kết quả tạo Access Rule
Tạo Access Rule để truy cập Internet
46
Tổng kết
Tính năng của TMG: Tường lửa,Cổng truy cập Web an toàn,
Secure E-mail Relay,Cổng truy cập từ xa,Ngăn cản sự xâm
nhập trái phép.
Điều kiện: Windows Server 2008 -64 bít hoặc Windows
Server 2008 R2, tối thiểu 2GB RAM.
TMG chia hệ thống mạng cơ bản thành 2 phần: Internal
(LAN), Localhost (TMG), External (Internet).
Thông thường hệ thống mạng chia thành: Internal (LAN),
DMZ (Vùng Server): bên ngoài có thể truy cập vào vùng này,
External (Internet).
Mặc định khi cài TMG (Firewall) thì tất cả các dịch vụ bị chặn
(Deny all). Chúng ta muốn sử dụng dịch vụ nào thì ta phải
tạo Access Rule.
Để tạo một Access Rule bạn cần: Chọn hành động, các
protocol, Source Network, Destination Network, User/Group 47
XIN CẢM ƠN!
48
Các file đính kèm theo tài liệu này:
- Unlock-fpoly_msforefront_9426.pdf