CÁC TÍNH NĂNG MỚI

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



3)

4)

5)

6)



Các phản hồi từ máy chủ Web được trả lại cho TMG.

Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web.

Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trước khi kiểm tra.

Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy trên đĩa hoặc

bộ nhớ, tùy thuộc vào kích thước.

7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc.

8) Bộ lọc gửi nội dung đến Edge Malware Protection (EMP) Máy quét để kiểm tra.

9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web.

10) Dữ liệu được gửi đến xử lý đích.

11) Việc xử lý đích lấy nội dung tích lũy.

12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP.

13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích.

14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng.

15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine.

16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.

Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG tích lũy nội

dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về, và sau đó kiểm tra nội

dung. Nếu nội dung được tải về và kiểm tra trong vòng 10 giây, TMG chuyển tập tin đến

người dùng cuối. Nếu nội dung được tải về và kiểm tra các tập tin mất hơn 10 giây, TMG sẽ

gửi một trang tiến độ HTML cho người dùng thể hiện tiến trình tải về hoặc cho thấy một

phản ứng trickled tùy thuộc vào loại nội dung được tải về. Một phản ứng trickled là cùng

một loại phản ứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác.



Hình II.3.2 Quản lý down load với Forefront TMG



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 23



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



 Giao diện người dùng, quản lý và báo cáo nâng cao

TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services (SRS). SRS có

thể tạo ra các báo cáo từ cơ sở dữ liệu SQL. SRS cho phép báo cáo thiết kế và định

nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch vụ Web có thể lập trình

giao diện, và nhiều hơn nữa. SRS gồm dịch vụ cơ sở dữ liệu và trong trường hợp của

SRS 2005, dịch vụ web được tổ chức bởi IIS, IIS yêu cầu trên máy tính TMG vì lý do

này. IIS cũng được yêu cầu cho Windows EBS quản lý báo cáo từ xa. IIS không phải là

một vai trò cần thiết cho TMG 2010.2

Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phần mềm độc hại,

lọc URL và phòng chống xâm nhập. TMG báo cáo bao gồm thông tin không có sẵn trong

các phiên bản trước của các bức tường lửa. Khi Forefront Protection Manager 2010

(FPM) được khởi động, TMG 2010 sẽ tích hợp hoàn toàn với FPM cung cấp một giải

pháp bảo vệ end-to-end. Báo cáo TMG có thể được xem hoặc kiểm soát từ giao diện

báo cáo FPM.

TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiện việc tạo ra báo

cáo và quản lý.

Bảng dưới cho thấy các chức năng bao gồm trong các bức tường lửa TMG cho Windows

Essential Business Server và TMG 2010.



Bảng II.3.1 So sánh chức năng trong TMG MBE và TMG 2010



 URL Filtering

Các tính năng lọc URL cho phép bạn thực thi các chính sách an ninh. Sử dụng lọc URL,

bạn có thể ngăn chặn truy cập của người dùng vào các trang web có thể gây ra một

nguy cơ bảo mật hoặc bị cấm theo chính sách duyệt web của công ty.

Là người quản trị, bạn có thể xác định các loại URL chẳng hạn như phần mềm độc hại.

Sau đó, bạn có thể sử dụng Web Access Wizard để tạo cho phép hoặc từ chối chính

sách đối với các loại này. Bạn cũng có thể chỉ tùy chỉnh từ chối thông báo cho các trang

2* SRS-kích hoạt mặc định của IIS lắng nghe trên cổng TCP 8008 và không phải trên TCP cổng 80 để cung cấp một bề mặt tấn

công thấp hơn.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 24



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



web bị từ chối. Bạn có thể cấu hình các quy tắc từ chối để có thể miễn trừ cho phép

người sử dụng truy cập vào các trang web này nếu có điều kiện nhất định.

Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đó nhận được

một thông báo HTML mà bạn cấm truy cập vào website để vào trang web bị cấm theo

chính sách công ty. Thông báo HTML có thể được cấu hình trên TMG.

 HTTPS Inspection

HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên khởi động

từ các máy tính trong mạng được bảo vệ. Tính năng này đóng một vai trò quan trọng

trong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ Web dựa

trên các máy chủ e-mail như Outlook Web Access (OWA) và các trang web khác HTTPS.

Khi một người dùng yêu cầu một trang an toàn trên Internet, TMG chặn các phản hồi từ

máy chủ Web, tạo ra một giấy chứng nhận cùng tên và gửi lại cho người dùng. Trong

cách này tất cả lưu lượng HTTPS có thể được TMG kiểm tra trước khi nó được thông

qua giữa máy khách và máy chủ.

 Hỗ trợ E-Mail Anti-Malware và Anti-Spam

TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng chống phần

mềm độc hại.

Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra bằng cách sử

dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người dùng. Đối với các

giao thức SMTP, bạn có thể xác định một con đường SMTP, là một thực thể đại diện cho

một liên kết giữa TMG và nội bộ hoặc các máy chủ thư bên ngoài. Mục đích các tuyến

đường SMTP là để đơn giản hóa cấu hình và cung cấp một liên kết giữa TMG và

Internet, giữa TMG và published mail server. Giao diện người dùng mới làm cho nó dễ

dàng hơn để quản lý cấu hình published mail server, bạn chỉ cho phép antivirus (AV)

quét trên các tuyến đường SMTP.

Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu lượng truy

cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc được gửi qua email.

 Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)

Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là bởi vì nó có

thể được sử dụng như một biện pháp chủ động để phát hiện xâm nhập. IPS là một thiết

bị bảo vệ hệ thống. Một IPS thường được coi là một phần mở rộng của Intrution

Detection System (IDS), nhưng cũng có thể được xem như là một hình thức kiểm soát

truy cập, tương tự như một lớp ứng dụng tường lửa không chỉ phát hiện hoạt động

đáng ngờ, nhưng cũng có các biện pháp phòng ngừa để ngăn chặn xâm nhập và cho

phép được lựa chọn con đường đi qua.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 25



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS. TMG 2010

cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc hại.



Hình II.3.3 Giao diện Intrusion Prevention System (IPS)



 The Session Initiation Protocol (SIP) Filter

Bộ lọc Session Initiation Protocol (SIP) được đi kèm với TMG, hỗ trợ âm thanh

và video thông qua các bức tường lửa TMG và cũng cho phép người dùng chuyển các

tập tin và chia sẻ ứng dụng.

 TFTP Filter

TMG bao gồm Trivial File Transfer Protocol (TFTP) Filter. TFTP thường được sử dụng bởi

BootP client để tải về một hệ điều hành. Ngoài ra, do nhiều Voice Over IP (VoIP)

điện thoại sử dụng TFTP để download các file cấu hình, các bức tường lửa TMG cung

cấp hỗ trợ TFTP tạo điều kiện thuận lợi cho những yêu cầu này bằng cách sử dụng bộ

lọc TFTP. Việc sử dụng TFTP để di chuyển dữ liệu vào máy tính mới được triển khai.

TFTP là một truyền tập tin giao thức tương tự như File Transfer Protocol (FTP), nhưng

hoạt động khá khác nhau một chút và sử dụng khác nhau. Bởi vì ISA Server thường

được dùng để cô lập mạng lưới của nhau và không hiểu làm thế nào để quản lý TFTP

Communications, nên việc triển khai tự động của Windows và bằng ảnh đĩa thường bị

thất bại. TMG giải quyết vấn đề này bằng cách thêm một bộ lọc TFTP để cung cấp sự

quản lý tốt hơn và an toàn hơn.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 26



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



 Network Functionality Enhancements (Cải tiến chức năng mạng)

Trong tất cả các phiên bản trước đây của ISA Server, khi một mối quan hệ Network

Address Translation (NAT) tồn tại giữa các mạng, ISA không cho phép xác định địa chỉ

IP bên ngoài, ngay cả khi giao diện bên ngoài có nhiều địa chỉ IP. Thay vào đó, ISA luôn

luôn sử dụng chính Địa chỉ IP kết hợp với giao diện, làm cho địa chỉ IP của địa chỉ

nguồn cho tất cả các outboud traffic. Tương tự như vậy, ISA không thể làm cho việc sử

dụng kết nối nhiều hơn một ISP, khiến nhiều người dùng phải mua một thiết bị riêng

biệt để đáp ứng nhu cầu này.

 Nat address Selection (Lựa chọn địa chỉ NAT)

Các tường lửa TMG có NAT cải tiến mới cho phép bạn chỉ định địa chỉ để sử dụng cho

các yêu cầu gửi đi khi có một mối quan hệ NAT giữa các thực thể mạng. Ngoài ra, nếu

TMG có nhiều địa chỉ IP bên ngoài, bạn có thể chỉ định địa chỉ được xem bởi các máy

chủ SMTP từ xa. Điều này đặc biệt hữu ích nếu có hạn chế địa chỉ IP đang được để bảo

vệ thư rác tại SMTP Server từ xa. Lựa chọn địa chỉ NAT được thiết lập thông qua các

New Network Rule Wizard.



Hình II.3.4 Nat address Selection wizard



 ISP Sharing/Failover

TMG cũng hỗ trợ kết nối dual ISP (Liên kết bên ngoài) có thể hoạt động theo một trong

hai chế độ: chuyển đổi dự phòng ISP hoặc ISP chia sẻ. Trong chế độ chuyển đổi dự

phòng ISP, nếu một ISP kết nối bị hỏng, TMG có thể cung cấp khả năng chịu lỗi bằng

cách tự động chuyển sang kết nối ISP khác. Điều này giúp TMG cung cấp cân bằng tải

năng động giữa các nhà cung cấp dịch vụ Internet với dự phòng và khả năng chuyển

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 27



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



đổi dự phòng. Trong chế độ nhà cung cấp dịch vụ Internet chia sẻ tải, bạn có thể chỉ

định một tỷ lệ phần trăm tải giữa hai ISP kết nối và TMG sẽ định tuyến dựa trên lưu

lượng giao thông hiện tại thông qua mỗi ISP kết nối.

 So sánh tính năng được hỗ trợ trong TMG 2010 với TMG MBE và ISA 2006



Bảng II.3.2 so sánh tính năng giữa ISA 2006 với TMG MBE và TMG 2010



4. SỰ KHÁC NHAU GIỮA TMG VÀ UAG LÀ GÌ?

Vào tháng năm 2006, Microsoft chính thức công bố việc mua lại Whale Communications.Ltd

Tại thời điểm đó, secure Sockets Layer Virtual Private Network (SSL VPN) là cổng được tăng

khả năng hiển thị cho các tổ chức thuộc mọi quy mô. Tại thời điểm đó Microsoft đã không

có sản phẩm SSL VPN gateway nào và quyết định để có được giải pháp SSL VPN để cung

cấp trong bộ sản phẩm Forefront. Một năm sau khi việc mua lại này, Microsoft thay đổi tên

của sản phẩm thành Intelligent Application Gateway 2007 (IAG 2007).

4.1.Việc kích hoạt truy cập từ bất cứ nơi nào

Các phương pháp truyền thống của người dùng cho phép tại các địa điểm truy cập từ xa

vào tài nguyên nội bộ trên Internet là thông qua các lớp mạng Mạng riêng ảo (VPN).

Lớp mạng công nghệ VPN truyền thống làm việc với một trong hai giao thức đường hầm

chính: PPTP và L2TP. Các giao thức này cho phép các đường hầm mã hóa được thiết lập

giữa khách hàng và máy chủ hoặc giữa hai lớp mạng cổng VPN (còn được gọi là thiết bị

định tuyến VPN).

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 28



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Vấn đề là đôi khi khách hàng ở sau một edge firewall chỉ cho phép HTTP và HTTPS

outbound traffic, như thể hiện trong Hình II.4.1.1. Điều này thường làm thất vọng người

dùng cuối bởi vì khi đi PPTP hoặc L2TP/IPsec kết nối bị từ chối. Vì vậy, thuật ngữ “truy

cập từ bất cứ nơi nào” thực sự không áp dụng khi nói về kết nối lớp mạng VPN.



Hình II.4.1.1 Thực hiện kết nối VPN với UAG



Hình II.4.1.1 cho thấy rằng công nghệ SSL VPN không bị các vấn đề kết nối vốn có

trong các kết nối lớp mạng VPN. Con số này cho thấy một Edge Firewall chỉ cho phép

HTTP và HTTPS mới đi ra bên ngoài và hai phía sau tường lửa này. Các khách hàng

bằng cách sử dụng một truyền thống VPN (chẳng hạn như PPTP) để kết nối với máy

chủ VPN bị chặn bởi các tường lửa, trong khi các máy khách SSL VPN là không. Điều

này minh họa sự linh hoạt lớn hơn công nghệ SSL VPN, cho phép truy cập tăng cường

an ninh mà không cần phải đối phó với các vấn đề kết nối có thể được áp đặt bởi các

hạn chế. SSL VPN làm cho các máy trạm khách hàng từ xa dễ dàng kết nối với cổng

thông tin HTTPS và từ kết nối với các nguồn tài nguyên nội bộ (máy chủ, máy trạm) và

như vậy từ một số địa điểm khác nhau mà không cần phải lo lắng về các vấn đề kết nối

đã được phổ biến gặp phải trong quá khứ.

Công nghệ SSL VPN là một chuẩn cho phép truy cập từ xa. Server 2008 cho phép bạn

cấu hình RRAS như một máy chủ SSL VPN bằng cách sử dụng Secure Socket Tunneling

Protocol (SSTP) VPN mới.

4.2.Những điểm mới trong UAG

Trong khi IAG là một giải pháp thiết bị, UAG mở rộng này cung cấp với một phần mềm,

máy chủ triển khai tùy chọn cài đặt. UAG sẽ cung cấp cho bạn hai lựa chọn: cài đặt sẵn

phiên bản của UAG trên một thiết bị phần cứng OEM và một tập tin tải về. Bạn có thể

triển khai UAG trong một môi trường ảo, bằng cách sử dụng Microsoft Hyper-V hay

SVVP (Server Virtualization Validation Program).



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 29