An toàn và Bảo mật thông tin - Bài 5: Xây dựng hệ thống tường lửa mạng doanh nghiệp trên Microsoft Forefont Threat Management Gateway 2010 (TMG)

Bài 5 COM3022-An toàn & Bảo mật thông tin Bài 5 (TMG) Xây dựng hệ thống tường lửa mạng doanh nghiệp trên Mục tiêu  Giới thiệu về Microsoft Forefront Threat Management Gateway 2010 và các tính năng của nó  Yêu cầu cấu hình hệ thống  Cài đặt và khởi tạo  Các khái niệm về cấu hình  Thiết lập Firewall dựa trên Access Policy  Kiểm tra kết quả 3 Giới thiệu về TMG Lớp bảo vệ phía trước và các sản phẩm truy cập Trước kia Hiện nay Bảo vệ mạng Truy cập mạng Forefront Edge Security và Access products cung cấp bảo vệ hệ thống mạng và các ứng dụng trung tâm. Các chính sách truy cập đến kiến trúc hệ thống CNTT của doanh nghiệp. Tích hợp và bảo vệ toàn diện các nguy cơ an ninh trên Internet. Nền tảng hợp nhất cần thiết cho tất doanh nghiệp truy cập từ xa. Quang cảnh mối hiểm họa an ninh  Tấn công bị giảm, Các mối đe dọa tăng  Các mối đe dọa tinh vi ngày càng tăng  Các đe dọa đã di chuyển tới tầng ứng dụng  Các mối đe dọa khác xuất hiện • Lừa đảo • Spam và email có mã độc • Tổng hợp nhiều hiểm họa. Các giá trị của TMG Tường lửa– Kiểm soát chính sách truy cập mạng tại biên. Cổng truy cập Web an toàn – Bảo vệ người dùng từ các mối đe dọa của trình duyệt. Secure E-mail Relay – Bảo vệ người dùng từ các mối hiểm hoạ từ Email. Cổng truy cập từ xa– Cho phép người dùng truy cập từ xa đến các tài nguyên của công ty. Ngăn cản sự xâm nhập trái phép – Bảo vệ các máy tính người dùng và Server khỏi sự xâm nhập . Toàn diện Tích hợp Đơn giản Các tình huống triển khai Forefront TMG •Tất cả các giải pháp cho doanh nghiệp vừa và nhỏ •Firewall, VPN, Web security, IPS, e-mail relay Unified Threat Management (UTM) •Authenticating proxy with security •Ngăn chặn Virus Web và lọc URL •Giám sát các gói tin HTTP and HTTPS Secure Web Gateway •Secure Web publishing •Dial-in VPN •Site to site VPN Remote Access Gateway •Antispam •Antivirus •E-mail filtering Secure E-mail Relay Tổng hợp các đặc tính của TMG • VoIP traversal • Enhanced NAT • ISP link redundancy Firewall •HTTP antivirus/ antispyware •URL filtering •HTTPS forward inspection Secure Web Access •Exchange Edge integration •Antivirus •Antispam E-mail Protection •Network inspection system Intrusion Prevention •NAP integration with client VPN •SSTP integration Remote Access •Array management •Change tracking •Enhanced reporting •W2K8, native 64-bit Deployment and Management •Malware protection •URL filtering •Intrusion prevention Subscription Services Tường lửa tầng mạng Tường lửa tầng ứng dụng Bảo vệ truy cập Internet (proxy) Basic OWA and SharePoint publishing IPSec VPN (remote and site-to-site) Web caching, HTTP compression Ngăn ngừa virus Web và các phần mềm hại Lọc địa chỉ URL Ngăn ngừa phần mềm độc hại với Email Ngăn ngừa xâm nhập mạng Tổng kết các đặc điểm  So sánh với ISA Server 2006 ISA Server 2006 Forefront TMG                 Mới Mới Mới Mới Nâng cao giao diện, quản lý và báo cáo  Mới Exchange publishing (RPC over HTTP)   Windows Server® 2008 R2, 64-bit (only)  Mới E Giấy phép Forefront TMG  Hai phiên bản của TMG Phiên bản Standard Full UTM Phiên bản Enterprise Khả năng mở rộng và quản lý Bảo vệ Web Bảo vệ E-mail Subscriptions So sánh phiên bản Forefront TMG Standard Edition Enterprise Edition Số CPUs 4 CPUs Không giới hạn Array/NLB/CARP support   Enterprise management  Yes, with added ability for EMS to manage SEs Publishing   VPN support   Forward proxy/cache, compression   Network IPS (NIS)   E-mail protection Requires Microsoft® Exchange Server License (Server + CALs) and installation by the admin Cài đặt và khởi tạo Yêu cầu hệ thống 14 Minimum Recommended Processor 2 core (1 CPU x dual core) 64-bit processor 4 core (2 CPU x dual core or 1 CPU x quad core) 64-bit processor Memory 2GB RAM 4 GB RAM Hard Disk Space 2.5 GB ổ đĩa * 2.5 GB ổ đĩa* Hard Disks One local hard disk partition formatted with NTFS Two disks for system and logging, and one for caching and malware inspection Network MộT Card mạng với việc truyền bên trong hệ thống Mỗi mạng kết nối với TMG Server cần 1 Card mạng. Operating System Windows Server® 2008 x64 with Service Pack 2, or Windows Server® 2008 R2 * Nếu sử dụng Cache thì cần thêm dung lượng ổ đĩa. Yêu cầu trước cài đặt  Cài đặt cơ bản • Đã kết nối được với mạng, đã được cấu hình DNS Server • Yêu cầu các thành phần của hệ điều hành: • Windows® Roles and Features • Microsoft® .NET Framework 3.5 SP1 • Windows Web Services API • Windows Installer 4.5 Cài đặt 16 Cài đặt 17  Hệ thống TMG chia hệ thống mạng của ta thành 2 phần: Internal (LAN) và External ( Bên ngoài)  Khai báo dải địa chỉ IP bên trong Internal (LAN) theo Card mạng hoặc theo dải địa chỉ (Add private/Range) Khởi tạo cấu hình  Getting Started Wizard 18 Thiết lập cấu hình loại mạng  Chọn loại kiến trúc mạng: • Edge firewall: Đứng ở giữa bảo vệ mạng bên trong (LAN/Internal) và External /Internet. • 3-Leg perimeter • Back firewall • Single network adapter 19  Network Setup Wizard Định nghĩa IP cho từng card mạng Gán card mạng đến mỗi mạng chính xác. Thiết lập cấu hình mạng  Network Setup Wizard 20 Định nghĩa tên máy,tên domain và DNS Server Thiết lập cấu hình hệ thống  System Configuration Wizard 21 Thiết lập triển khai cấu hình  Kích hoạt License  Cho phép ngăn ngừa mailware và ngăn chặn sự xâm nhập.  Configure signature update schedule and response policy  Join vào mục nâng cao kinh nghiệm. 22  Deployment Wizard Thiết lập triển khai cấu hình  Deployment Wizard 23 Các khái niệm cấu hình cơ bản Các khái niệm cơ bản về cấu hình  Forefront TMG Hỗ trợ không giới hạn các Card mạng • Bị giới hạn bởi số lượng card mạng theo phần cứng 25  Network Adapters Các khái niệm cấu hình 26  Networks  Khái niệm mạng (Networks) : gồm Internal, DMZ (Server), External (bên ngoài), Localhost: TMG Internal Các khái niệm cấu hình  Mô hình cấu hình mạng là hạ tầng mạng của doanh nghiệp • Chứa tất các địa chỉ IP cho card mạng • Không thể trùng với địa chỉ mạng (NetID) của mạng khác • Địa chỉ tĩnh (tốt hơn) hoặc địa chỉ động 27  Networks Các khái niệm cấu hình  Network Sets (Tập hợp các mạng): Nhóm một hoặc nhiều mạng DMZ Networks Các khái niệm cấu hình Network Sets được sử dụng để nhóm một hoặc nhiều mạng • Được định nghĩa bởi việc chọn các mạng • Được định nghĩa bởi mạng và các policy rules 29  Network Sets Các khái niệm cấu hình  Định nghĩa cho phép phân luồng gói tin  Xác định mối quan hệ giữa hai mạng • Route • Bi-directional • Source address not modified • NAT • Uni-directional • Source address is modified  Được yêu cầu cho non-Web access và Server Publishing rules • Lọc Web proxy bỏ qua Network Rule 30  Network Rules Các khái niệm cấu hình  Đặc điểm mới: NAT nâng cao (Enhanced NAT) • Chỉ rõ địa chỉ IP được sử dụng khi thực hiện NAT 31  Network Rules Các khái niệm cấu hình  Hiển thị thông tin bảng định tuyến được sử dụng giữa các mạng • Được thiết lập qua lệnh route –p add hoặc giao diện đồ họa. 32  Routing (Định tuyến) Forefront TMG Policy  Ba loại luật (rules): 1. Network rules 2. System policy 3. Firewall policy 33 Firewall Policy: Giám sát và lọc gói tin giữa mạng bên trong (Internal) và bên ngoài (Internet). Firewall Policy tạo thành các tập rule sau: Luật truy cập (Access rules): Kiểm soát truy cập Web bên ngoài (Từ PC -> Internet) Web publishing rules : Kiểm soát truy cập từ Internet vào bên trong các Web Server Server publishing rules: Kiểm soát truy cập vào các Publishing Server. Tình huống sử dụng 1 Card mạng  Forefront TMG hỗ trợ sử dụng một card mạng  Các tính huống được sử dụng • Secure Web Gateway (chuyển tiếp Web proxy và cache) • Web Publishing (reverse Web proxy và cache) • Remote client VPN access  Các tính huống không hỗ trợ • Kiểm tra tầng ứng dụng ( ngoại trừ cho Web proxy) • Server publishing • Non-Web clients • Firewall client • Secure NAT • Site-to-site VPNs 34 Tình huống áp dụng một card mạng 35 Internal Local Host VPN Clients Một số lỗi cấu hình  Nhiều default gateways • Chỉ định nghĩa duy nhất có 1 default gateway  Không thêm được các địa chỉ đến các mạng • Đảm bảo đã thêm vào đầy đủ các mạng  Phân giải địa chỉ DNS • DNS Server được liệt kê là “nội bộ + Internet), không phải cho mỗi Card mạng • Sử dụng DNS Server nội bộ (AD) hoặc DNS Server cục bộ khi muốn sử dụng các dịch vụ nội bộ và sử dụng điều kiện chuyển tiếp khi cần dùng Internet. 36 Tạo Access Rule để truy cập Internet 37 Để cho phép các máy tính từ bên trong (Internal) truy cập được Internet (External) ta cần truy các giao thức sau: DNS, HTTP, HTTPS Firewall Policy chọn New > Access Rule Tạo Access Rule để truy cập Internet 38 Đặt tên cho Rule là: Allow Access Web Tạo Access Rule để truy cập Internet 39 Rule Action (Hành động gồm có 2 loại: Allow (cho phép) và Deny (Cấm) Tạo Access Rule để truy cập Internet 40 Chọn 3 giao thức cần thiết cho truy cập Internet là: DNS, HTTP và HTTPS Tạo Access Rule để truy cập Internet 41 Chọn nguồn (Access Rule Source) là Internal (Từ bên trong) Tạo Access Rule để truy cập Internet 42 Chọn Đích (Access Rule Destination) là External (Bên ngoài TMG - Internet) Tạo Access Rule để truy cập Internet 43 Chọn các User /Group được truy cập Tạo Access Rule để truy cập Internet 44 Chọn Finish và nhấn nút Apply để áp dụng Rule vừa tạo Tạo Access Rule để truy cập Internet 45 Kết quả tạo Access Rule Tạo Access Rule để truy cập Internet 46 Tổng kết  Tính năng của TMG: Tường lửa,Cổng truy cập Web an toàn, Secure E-mail Relay,Cổng truy cập từ xa,Ngăn cản sự xâm nhập trái phép.  Điều kiện: Windows Server 2008 -64 bít hoặc Windows Server 2008 R2, tối thiểu 2GB RAM.  TMG chia hệ thống mạng cơ bản thành 2 phần: Internal (LAN), Localhost (TMG), External (Internet).  Thông thường hệ thống mạng chia thành: Internal (LAN), DMZ (Vùng Server): bên ngoài có thể truy cập vào vùng này, External (Internet).  Mặc định khi cài TMG (Firewall) thì tất cả các dịch vụ bị chặn (Deny all). Chúng ta muốn sử dụng dịch vụ nào thì ta phải tạo Access Rule.  Để tạo một Access Rule bạn cần: Chọn hành động, các protocol, Source Network, Destination Network, User/Group 47 XIN CẢM ƠN! 48