Bài 5 Xây dựng hệ thống tường lửa mạng doanh nghiệp
trên
COM3022-An toàn & Bảo mật thông tin Bài 5
(TMG)
Mục tiêu
Giới thiệu về Microsoft Forefront Threat Management
Gateway 2010 và các tính năng của nó
3
Yêu cầu cấu hình hệ thống Cài đặt và khởi tạo Các khái niệm về cấu hình Thiết lập Firewall dựa trên Access Policy Kiểm tra kết quả
Giới thiệu về TMG
Lớp bảo vệ phía trước và các sản phẩm truy cập
Forefront Edge Security và Access products cung cấp bảo vệ hệ thống mạng và các ứng dụng trung tâm. Các chính sách truy cập đến kiến trúc hệ thống CNTT của doanh nghiệp.
Trước kia Hiện nay
Bảo vệ mạng
Tích hợp và bảo vệ toàn diện các nguy cơ an ninh trên Internet.
Truy cập mạng
Nền tảng hợp nhất cần thiết cho tất doanh nghiệp truy cập từ xa.
Quang cảnh mối hiểm họa an ninh Tấn công bị giảm, Các mối đe dọa tăng Các mối đe dọa tinh vi ngày càng tăng Các đe dọa đã di chuyển tới tầng ứng dụng Các mối đe dọa khác xuất hiện
• Lừa đảo • Spam và email có mã độc • Tổng hợp nhiều hiểm họa.
Các giá trị của TMG
Toàn diện
Tường lửa– Kiểm soát chính sách truy cập mạng tại biên.
Tích hợp
Cổng truy cập Web an toàn – Bảo vệ người dùng từ các mối đe dọa của trình duyệt.
Secure E-mail Relay – Bảo vệ người dùng từ các mối hiểm hoạ từ Email.
Đơn giản
Cổng truy cập từ xa– Cho phép người dùng truy cập từ xa đến các tài nguyên của công ty.
Ngăn cản sự xâm nhập trái phép – Bảo vệ các máy tính người dùng và Server khỏi sự xâm nhập .
Các tình huống triển khai Forefront TMG
•Tất cả các giải pháp cho doanh nghiệp vừa và nhỏ •Firewall, VPN, Web security, IPS, e-mail relay
Unified Threat Management (UTM)
•Authenticating proxy with security •Ngăn chặn Virus Web và lọc URL •Giám sát các gói tin HTTP and HTTPS
Secure Web Gateway
•Secure Web publishing •Dial-in VPN •Site to site VPN
Remote Access Gateway
•Antispam •Antivirus •E-mail filtering
Secure E-mail Relay
Tổng hợp các đặc tính của TMG
•Network inspection system
•HTTP antivirus/ antispyware •URL filtering •HTTPS forward
•Exchange Edge integration •Antivirus •Antispam
• VoIP traversal • Enhanced NAT • ISP link redundancy
inspection
Firewall
Intrusion Prevention
E-mail Protection
Secure Web Access
•Malware protection •URL filtering •Intrusion prevention
•Array management •Change tracking •Enhanced reporting •W2K8, native 64-bit
•NAP integration with client VPN •SSTP integration
Deployment and Management
Remote Access
Subscription Services
Tổng kết các đặc điểm
So sánh với ISA Server 2006
Tường lửa tầng mạng
ISA Server 2006
Forefront TMG
Tường lửa tầng ứng dụng
Bảo vệ truy cập Internet (proxy)
Basic OWA and SharePoint publishing
Exchange publishing (RPC over HTTP)
IPSec VPN (remote and site-to-site)
Web caching, HTTP compression
Mới
Windows Server® 2008 R2, 64-bit (only)
Mới
Ngăn ngừa virus Web và các phần mềm hại
Mới
Lọc địa chỉ URL
Mới
Ngăn ngừa phần mềm độc hại với Email
Mới
Ngăn ngừa xâm nhập mạng
Mới
Nâng cao giao diện, quản lý và báo cáo
Giấy phép Forefront TMG Hai phiên bản của TMG
Phiên bản Enterprise Khả năng mở rộng và quản lý
Phiên bản Standard Full UTM
Subscriptions
E
Bảo vệ Web Bảo vệ E-mail
So sánh phiên bản Forefront TMG
Standard Edition
Enterprise Edition
Số CPUs
4 CPUs
Không giới hạn
Array/NLB/CARP support
Enterprise management
Yes, with added ability for EMS to manage SEs
Publishing
VPN support
Forward proxy/cache, compression
Network IPS (NIS)
E-mail protection
Requires Microsoft® Exchange Server License (Server + CALs) and installation by the admin
Cài đặt và khởi tạo
Yêu cầu hệ thống
Minimum
Recommended
Processor
2 core (1 CPU x dual core) 64-bit processor
4 core (2 CPU x dual core or 1 CPU x quad core) 64-bit processor
Memory
2GB RAM
4 GB RAM
Hard Disk Space
2.5 GB ổ đĩa *
2.5 GB ổ đĩa*
Hard Disks
One local hard disk partition formatted with NTFS
Two disks for system and logging, and one for caching and malware inspection
Network
MộT Card mạng với việc truyền bên trong hệ thống
Mỗi mạng kết nối với TMG Server cần 1 Card mạng.
Operating System
Windows Server® 2008 x64 with Service Pack 2, or Windows Server® 2008 R2
14
* Nếu sử dụng Cache thì cần thêm dung lượng ổ đĩa.
Yêu cầu trước cài đặt Cài đặt cơ bản
• Đã kết nối được với mạng, đã được cấu hình DNS Server • Yêu cầu các thành phần của hệ điều hành:
• Windows® Roles and Features • Microsoft® .NET Framework 3.5 SP1 • Windows Web Services API • Windows Installer 4.5
Cài đặt
16
Cài đặt
17
Hệ thống TMG chia hệ thống mạng của ta thành 2 phần: Internal (LAN) và External ( Bên ngoài)
Khai báo dải địa chỉ IP bên trong Internal (LAN) theo Card mạng hoặc theo dải địa chỉ (Add private/Range)
Khởi tạo cấu hình Getting Started Wizard
18
Thiết lập cấu hình loại mạng
Network Setup Wizard
Chọn loại kiến trúc mạng:
• Edge firewall: Đứng ở giữa bảo vệ mạng bên trong
(LAN/Internal) và External /Internet.
19
• 3-Leg perimeter • Back firewall • Single network adapter
Thiết lập cấu hình mạng Network Setup Wizard
20
Định nghĩa IP cho từng card mạng Gán card mạng đến mỗi mạng chính xác.
Thiết lập cấu hình hệ thống System Configuration Wizard
21
Định nghĩa tên máy,tên domain và DNS Server
Thiết lập triển khai cấu hình Deployment Wizard Kích hoạt License Cho phép ngăn ngừa mailware và ngăn chặn sự xâm nhập. Configure signature update schedule and response policy Join vào mục nâng cao kinh nghiệm.
22
Thiết lập triển khai cấu hình Deployment Wizard
23
Các khái niệm cấu hình cơ bản
Các khái niệm cơ bản về cấu hình Network Adapters Forefront TMG Hỗ trợ không giới hạn các Card mạng • Bị giới hạn bởi số lượng card mạng theo phần cứng
25
Các khái niệm cấu hình Networks
Internal
26
Khái niệm mạng (Networks) : gồm Internal, DMZ (Server),
External (bên ngoài), Localhost: TMG
Các khái niệm cấu hình Networks
Mô hình cấu hình mạng là hạ tầng mạng của doanh nghiệp
27
• Chứa tất các địa chỉ IP cho card mạng • Không thể trùng với địa chỉ mạng (NetID) của mạng khác • Địa chỉ tĩnh (tốt hơn) hoặc địa chỉ động
Các khái niệm cấu hình Network Sets (Tập hợp các mạng): Nhóm một hoặc nhiều
mạng
DMZ Networks
Các khái niệm cấu hình Network Sets
Network Sets được sử dụng để nhóm một hoặc
nhiều mạng • Được định nghĩa bởi việc chọn các mạng • Được định nghĩa bởi mạng và các policy rules
29
Các khái niệm cấu hình Network Rules
Định nghĩa cho phép phân luồng gói tin Xác định mối quan hệ giữa hai mạng
• Route
• Bi-directional • Source address not modified
• NAT
• Uni-directional • Source address is modified
Được yêu cầu cho non-Web access và Server Publishing rules
30
• Lọc Web proxy bỏ qua Network Rule
Các khái niệm cấu hình Network Rules
Đặc điểm mới: NAT nâng cao (Enhanced NAT)
31
• Chỉ rõ địa chỉ IP được sử dụng khi thực hiện NAT
Các khái niệm cấu hình Routing (Định tuyến) Hiển thị thông tin bảng định tuyến được sử dụng giữa các
32
mạng • Được thiết lập qua lệnh route –p add hoặc giao diện đồ họa.
Forefront TMG Policy
Ba loại luật (rules): 1. Network rules 2. System policy 3. Firewall policy
33
Firewall Policy: Giám sát và lọc gói tin giữa mạng bên trong (Internal) và bên ngoài (Internet). Firewall Policy tạo thành các tập rule sau: Luật truy cập (Access rules): Kiểm soát truy cập Web bên ngoài (Từ PC -> Internet) Web publishing rules : Kiểm soát truy cập từ Internet vào bên trong các Web Server Server publishing rules: Kiểm soát truy cập vào các Publishing Server.
Tình huống sử dụng 1 Card mạng Forefront TMG hỗ trợ sử dụng một card mạng Các tính huống được sử dụng
• Secure Web Gateway (chuyển tiếp Web proxy và cache) • Web Publishing (reverse Web proxy và cache) • Remote client VPN access Các tính huống không hỗ trợ
• Kiểm tra tầng ứng dụng ( ngoại trừ cho Web proxy) • Server publishing • Non-Web clients
34
• Firewall client • Secure NAT • Site-to-site VPNs
Tình huống áp dụng một card mạng
Local Host
35
VPN Clients Internal
Một số lỗi cấu hình Nhiều default gateways
• Chỉ định nghĩa duy nhất có 1 default gateway
Không thêm được các địa chỉ đến các mạng • Đảm bảo đã thêm vào đầy đủ các mạng
Phân giải địa chỉ DNS
• DNS Server được liệt kê là “nội bộ + Internet), không
phải cho mỗi Card mạng
36
• Sử dụng DNS Server nội bộ (AD) hoặc DNS Server cục bộ khi muốn sử dụng các dịch vụ nội bộ và sử dụng điều kiện chuyển tiếp khi cần dùng Internet.
Tạo Access Rule để truy cập Internet
Để cho phép các máy tính từ bên trong (Internal) truy cập được Internet (External) ta cần truy các giao thức sau: DNS, HTTP, HTTPS
37
Firewall Policy chọn New > Access Rule
Tạo Access Rule để truy cập Internet
38
Đặt tên cho Rule là: Allow Access Web
Tạo Access Rule để truy cập Internet
39
Rule Action (Hành động gồm có 2 loại: Allow (cho phép) và Deny (Cấm)
Tạo Access Rule để truy cập Internet
40
Chọn 3 giao thức cần thiết cho truy cập Internet là: DNS, HTTP và HTTPS
Tạo Access Rule để truy cập Internet
41
Chọn nguồn (Access Rule Source) là Internal (Từ bên trong)
Tạo Access Rule để truy cập Internet
42
Chọn Đích (Access Rule Destination) là External (Bên ngoài TMG - Internet)
Tạo Access Rule để truy cập Internet
43
Chọn các User /Group được truy cập
Tạo Access Rule để truy cập Internet
44
Chọn Finish và nhấn nút Apply để áp dụng Rule vừa tạo
Tạo Access Rule để truy cập Internet
Kết quả tạo Access Rule
45
Tạo Access Rule để truy cập Internet
46
Tổng kết
Tính năng của TMG: Tường lửa,Cổng truy cập Web an toàn, Secure E-mail Relay,Cổng truy cập từ xa,Ngăn cản sự xâm nhập trái phép.
Điều kiện: Windows Server 2008 -64 bít hoặc Windows
Server 2008 R2, tối thiểu 2GB RAM.
TMG chia hệ thống mạng cơ bản thành 2 phần: Internal
(LAN), Localhost (TMG), External (Internet).
Thông thường hệ thống mạng chia thành: Internal (LAN),
DMZ (Vùng Server): bên ngoài có thể truy cập vào vùng này, External (Internet).
Mặc định khi cài TMG (Firewall) thì tất cả các dịch vụ bị chặn (Deny all). Chúng ta muốn sử dụng dịch vụ nào thì ta phải tạo Access Rule.
47
Để tạo một Access Rule bạn cần: Chọn hành động, các
protocol, Source Network, Destination Network, User/Group
XIN CẢM ƠN!
48
![Tài liệu tập huấn nâng cao nhận thức về an toàn thông tin mạng cho cán bộ cơ sở [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2023/20230307/bapnuong06/135x160/991678178243.jpg)
