Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3)
4)
5)
6)
Các phản hồi từ máy chủ Web được trả lại cho TMG.
Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web.
Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trước khi kiểm tra.
Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy trên đĩa hoặc
bộ nhớ, tùy thuộc vào kích thước.
7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc.
8) Bộ lọc gửi nội dung đến Edge Malware Protection (EMP) Máy quét để kiểm tra.
9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web.
10) Dữ liệu được gửi đến xử lý đích.
11) Việc xử lý đích lấy nội dung tích lũy.
12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP.
13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích.
14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng.
15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine.
16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.
Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG tích lũy nội
dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về, và sau đó kiểm tra nội
dung. Nếu nội dung được tải về và kiểm tra trong vòng 10 giây, TMG chuyển tập tin đến
người dùng cuối. Nếu nội dung được tải về và kiểm tra các tập tin mất hơn 10 giây, TMG sẽ
gửi một trang tiến độ HTML cho người dùng thể hiện tiến trình tải về hoặc cho thấy một
phản ứng trickled tùy thuộc vào loại nội dung được tải về. Một phản ứng trickled là cùng
một loại phản ứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác.
Hình II.3.2 Quản lý down load với Forefront TMG
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 23
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Giao diện người dùng, quản lý và báo cáo nâng cao
TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services (SRS). SRS có
thể tạo ra các báo cáo từ cơ sở dữ liệu SQL. SRS cho phép báo cáo thiết kế và định
nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch vụ Web có thể lập trình
giao diện, và nhiều hơn nữa. SRS gồm dịch vụ cơ sở dữ liệu và trong trường hợp của
SRS 2005, dịch vụ web được tổ chức bởi IIS, IIS yêu cầu trên máy tính TMG vì lý do
này. IIS cũng được yêu cầu cho Windows EBS quản lý báo cáo từ xa. IIS không phải là
một vai trò cần thiết cho TMG 2010.2
Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phần mềm độc hại,
lọc URL và phòng chống xâm nhập. TMG báo cáo bao gồm thông tin không có sẵn trong
các phiên bản trước của các bức tường lửa. Khi Forefront Protection Manager 2010
(FPM) được khởi động, TMG 2010 sẽ tích hợp hoàn toàn với FPM cung cấp một giải
pháp bảo vệ end-to-end. Báo cáo TMG có thể được xem hoặc kiểm soát từ giao diện
báo cáo FPM.
TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiện việc tạo ra báo
cáo và quản lý.
Bảng dưới cho thấy các chức năng bao gồm trong các bức tường lửa TMG cho Windows
Essential Business Server và TMG 2010.
Bảng II.3.1 So sánh chức năng trong TMG MBE và TMG 2010
URL Filtering
Các tính năng lọc URL cho phép bạn thực thi các chính sách an ninh. Sử dụng lọc URL,
bạn có thể ngăn chặn truy cập của người dùng vào các trang web có thể gây ra một
nguy cơ bảo mật hoặc bị cấm theo chính sách duyệt web của công ty.
Là người quản trị, bạn có thể xác định các loại URL chẳng hạn như phần mềm độc hại.
Sau đó, bạn có thể sử dụng Web Access Wizard để tạo cho phép hoặc từ chối chính
sách đối với các loại này. Bạn cũng có thể chỉ tùy chỉnh từ chối thông báo cho các trang
2* SRS-kích hoạt mặc định của IIS lắng nghe trên cổng TCP 8008 và không phải trên TCP cổng 80 để cung cấp một bề mặt tấn
công thấp hơn.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 24
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
web bị từ chối. Bạn có thể cấu hình các quy tắc từ chối để có thể miễn trừ cho phép
người sử dụng truy cập vào các trang web này nếu có điều kiện nhất định.
Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đó nhận được
một thông báo HTML mà bạn cấm truy cập vào website để vào trang web bị cấm theo
chính sách công ty. Thông báo HTML có thể được cấu hình trên TMG.
HTTPS Inspection
HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên khởi động
từ các máy tính trong mạng được bảo vệ. Tính năng này đóng một vai trò quan trọng
trong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ Web dựa
trên các máy chủ e-mail như Outlook Web Access (OWA) và các trang web khác HTTPS.
Khi một người dùng yêu cầu một trang an toàn trên Internet, TMG chặn các phản hồi từ
máy chủ Web, tạo ra một giấy chứng nhận cùng tên và gửi lại cho người dùng. Trong
cách này tất cả lưu lượng HTTPS có thể được TMG kiểm tra trước khi nó được thông
qua giữa máy khách và máy chủ.
Hỗ trợ E-Mail Anti-Malware và Anti-Spam
TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng chống phần
mềm độc hại.
Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra bằng cách sử
dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người dùng. Đối với các
giao thức SMTP, bạn có thể xác định một con đường SMTP, là một thực thể đại diện cho
một liên kết giữa TMG và nội bộ hoặc các máy chủ thư bên ngoài. Mục đích các tuyến
đường SMTP là để đơn giản hóa cấu hình và cung cấp một liên kết giữa TMG và
Internet, giữa TMG và published mail server. Giao diện người dùng mới làm cho nó dễ
dàng hơn để quản lý cấu hình published mail server, bạn chỉ cho phép antivirus (AV)
quét trên các tuyến đường SMTP.
Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu lượng truy
cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc được gửi qua email.
Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)
Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là bởi vì nó có
thể được sử dụng như một biện pháp chủ động để phát hiện xâm nhập. IPS là một thiết
bị bảo vệ hệ thống. Một IPS thường được coi là một phần mở rộng của Intrution
Detection System (IDS), nhưng cũng có thể được xem như là một hình thức kiểm soát
truy cập, tương tự như một lớp ứng dụng tường lửa không chỉ phát hiện hoạt động
đáng ngờ, nhưng cũng có các biện pháp phòng ngừa để ngăn chặn xâm nhập và cho
phép được lựa chọn con đường đi qua.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 25
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS. TMG 2010
cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc hại.
Hình II.3.3 Giao diện Intrusion Prevention System (IPS)
The Session Initiation Protocol (SIP) Filter
Bộ lọc Session Initiation Protocol (SIP) được đi kèm với TMG, hỗ trợ âm thanh
và video thông qua các bức tường lửa TMG và cũng cho phép người dùng chuyển các
tập tin và chia sẻ ứng dụng.
TFTP Filter
TMG bao gồm Trivial File Transfer Protocol (TFTP) Filter. TFTP thường được sử dụng bởi
BootP client để tải về một hệ điều hành. Ngoài ra, do nhiều Voice Over IP (VoIP)
điện thoại sử dụng TFTP để download các file cấu hình, các bức tường lửa TMG cung
cấp hỗ trợ TFTP tạo điều kiện thuận lợi cho những yêu cầu này bằng cách sử dụng bộ
lọc TFTP. Việc sử dụng TFTP để di chuyển dữ liệu vào máy tính mới được triển khai.
TFTP là một truyền tập tin giao thức tương tự như File Transfer Protocol (FTP), nhưng
hoạt động khá khác nhau một chút và sử dụng khác nhau. Bởi vì ISA Server thường
được dùng để cô lập mạng lưới của nhau và không hiểu làm thế nào để quản lý TFTP
Communications, nên việc triển khai tự động của Windows và bằng ảnh đĩa thường bị
thất bại. TMG giải quyết vấn đề này bằng cách thêm một bộ lọc TFTP để cung cấp sự
quản lý tốt hơn và an toàn hơn.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 26
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Network Functionality Enhancements (Cải tiến chức năng mạng)
Trong tất cả các phiên bản trước đây của ISA Server, khi một mối quan hệ Network
Address Translation (NAT) tồn tại giữa các mạng, ISA không cho phép xác định địa chỉ
IP bên ngoài, ngay cả khi giao diện bên ngoài có nhiều địa chỉ IP. Thay vào đó, ISA luôn
luôn sử dụng chính Địa chỉ IP kết hợp với giao diện, làm cho địa chỉ IP của địa chỉ
nguồn cho tất cả các outboud traffic. Tương tự như vậy, ISA không thể làm cho việc sử
dụng kết nối nhiều hơn một ISP, khiến nhiều người dùng phải mua một thiết bị riêng
biệt để đáp ứng nhu cầu này.
Nat address Selection (Lựa chọn địa chỉ NAT)
Các tường lửa TMG có NAT cải tiến mới cho phép bạn chỉ định địa chỉ để sử dụng cho
các yêu cầu gửi đi khi có một mối quan hệ NAT giữa các thực thể mạng. Ngoài ra, nếu
TMG có nhiều địa chỉ IP bên ngoài, bạn có thể chỉ định địa chỉ được xem bởi các máy
chủ SMTP từ xa. Điều này đặc biệt hữu ích nếu có hạn chế địa chỉ IP đang được để bảo
vệ thư rác tại SMTP Server từ xa. Lựa chọn địa chỉ NAT được thiết lập thông qua các
New Network Rule Wizard.
Hình II.3.4 Nat address Selection wizard
ISP Sharing/Failover
TMG cũng hỗ trợ kết nối dual ISP (Liên kết bên ngoài) có thể hoạt động theo một trong
hai chế độ: chuyển đổi dự phòng ISP hoặc ISP chia sẻ. Trong chế độ chuyển đổi dự
phòng ISP, nếu một ISP kết nối bị hỏng, TMG có thể cung cấp khả năng chịu lỗi bằng
cách tự động chuyển sang kết nối ISP khác. Điều này giúp TMG cung cấp cân bằng tải
năng động giữa các nhà cung cấp dịch vụ Internet với dự phòng và khả năng chuyển
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 27
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
đổi dự phòng. Trong chế độ nhà cung cấp dịch vụ Internet chia sẻ tải, bạn có thể chỉ
định một tỷ lệ phần trăm tải giữa hai ISP kết nối và TMG sẽ định tuyến dựa trên lưu
lượng giao thông hiện tại thông qua mỗi ISP kết nối.
So sánh tính năng được hỗ trợ trong TMG 2010 với TMG MBE và ISA 2006
Bảng II.3.2 so sánh tính năng giữa ISA 2006 với TMG MBE và TMG 2010
4. SỰ KHÁC NHAU GIỮA TMG VÀ UAG LÀ GÌ?
Vào tháng năm 2006, Microsoft chính thức công bố việc mua lại Whale Communications.Ltd
Tại thời điểm đó, secure Sockets Layer Virtual Private Network (SSL VPN) là cổng được tăng
khả năng hiển thị cho các tổ chức thuộc mọi quy mô. Tại thời điểm đó Microsoft đã không
có sản phẩm SSL VPN gateway nào và quyết định để có được giải pháp SSL VPN để cung
cấp trong bộ sản phẩm Forefront. Một năm sau khi việc mua lại này, Microsoft thay đổi tên
của sản phẩm thành Intelligent Application Gateway 2007 (IAG 2007).
4.1.Việc kích hoạt truy cập từ bất cứ nơi nào
Các phương pháp truyền thống của người dùng cho phép tại các địa điểm truy cập từ xa
vào tài nguyên nội bộ trên Internet là thông qua các lớp mạng Mạng riêng ảo (VPN).
Lớp mạng công nghệ VPN truyền thống làm việc với một trong hai giao thức đường hầm
chính: PPTP và L2TP. Các giao thức này cho phép các đường hầm mã hóa được thiết lập
giữa khách hàng và máy chủ hoặc giữa hai lớp mạng cổng VPN (còn được gọi là thiết bị
định tuyến VPN).
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 28
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Vấn đề là đôi khi khách hàng ở sau một edge firewall chỉ cho phép HTTP và HTTPS
outbound traffic, như thể hiện trong Hình II.4.1.1. Điều này thường làm thất vọng người
dùng cuối bởi vì khi đi PPTP hoặc L2TP/IPsec kết nối bị từ chối. Vì vậy, thuật ngữ “truy
cập từ bất cứ nơi nào” thực sự không áp dụng khi nói về kết nối lớp mạng VPN.
Hình II.4.1.1 Thực hiện kết nối VPN với UAG
Hình II.4.1.1 cho thấy rằng công nghệ SSL VPN không bị các vấn đề kết nối vốn có
trong các kết nối lớp mạng VPN. Con số này cho thấy một Edge Firewall chỉ cho phép
HTTP và HTTPS mới đi ra bên ngoài và hai phía sau tường lửa này. Các khách hàng
bằng cách sử dụng một truyền thống VPN (chẳng hạn như PPTP) để kết nối với máy
chủ VPN bị chặn bởi các tường lửa, trong khi các máy khách SSL VPN là không. Điều
này minh họa sự linh hoạt lớn hơn công nghệ SSL VPN, cho phép truy cập tăng cường
an ninh mà không cần phải đối phó với các vấn đề kết nối có thể được áp đặt bởi các
hạn chế. SSL VPN làm cho các máy trạm khách hàng từ xa dễ dàng kết nối với cổng
thông tin HTTPS và từ kết nối với các nguồn tài nguyên nội bộ (máy chủ, máy trạm) và
như vậy từ một số địa điểm khác nhau mà không cần phải lo lắng về các vấn đề kết nối
đã được phổ biến gặp phải trong quá khứ.
Công nghệ SSL VPN là một chuẩn cho phép truy cập từ xa. Server 2008 cho phép bạn
cấu hình RRAS như một máy chủ SSL VPN bằng cách sử dụng Secure Socket Tunneling
Protocol (SSTP) VPN mới.
4.2.Những điểm mới trong UAG
Trong khi IAG là một giải pháp thiết bị, UAG mở rộng này cung cấp với một phần mềm,
máy chủ triển khai tùy chọn cài đặt. UAG sẽ cung cấp cho bạn hai lựa chọn: cài đặt sẵn
phiên bản của UAG trên một thiết bị phần cứng OEM và một tập tin tải về. Bạn có thể
triển khai UAG trong một môi trường ảo, bằng cách sử dụng Microsoft Hyper-V hay
SVVP (Server Virtualization Validation Program).
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 29