TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
XÂY DỰNG GIẢI PHÁP BẢO MẬT DỰA TRÊN NỀN TẢNG
ỨNG DỤNG MICROSOFT FOREFRONT TMG 2010
CHO CÔNG TY CỖ PHẦN THƯƠNG MẠI DỊCH VỤ
D.M.A COMPUTER TECHNOLOGY
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 1
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
LỜI CẢM ƠN
gày nay chúng ta có thể nói rằng công nghệ thông tin là một thành phần không thể
thiếu trong sự phát triển của xã hội bởi những tính năng và khả năng ưu việt mà nó
mang lại tiêu biểu là sự phát triển của mạng diện rộng đã tạo nên cuộc cách mạng
mới về công nghệ trong sự phát triển của xã hội. Bên cạnh mặt tích cực đó luôn là
sự xuất hiện của tiêu cực, nhiều tin tặc đã lợi dụng sự phát triển của hệ thống mạng mà chống
phá sự phát triển của các doanh nghiệp và chính phủ. Chính vì thế nhiều buổi chuyên đề, hội
thảo về mạng – bảo mật đã được triển khai nhằm tìm ra những giải pháp tối ưu để bảo vệ cho
các hệ thống mạng trên. Trong đề tài này chúng tôi xin giới thiệu một giải pháp bảo mật cho
mạng doanh nghiệp dựa trên những kiến thức đã học và những kiến thức tìm hiểu nâng cao.
Chúng tôi xin được đưa ra những giải pháp bảo mật dựa trên nền tảng tường lửa mềm của
Microsoft là Microsoft Forefront Threat Managerment Gateway (TMG) 2010 cho công ty Cổ Phần
Thương Mại Dịch Vụ D.M.A Computer Technology.
N
Để hoàn thành tốt đề tài này chúng tôi xin chân thành cảm ơn ban lãnh đạo Trường Cao Đẳng
Nghề CNTT Ispace cùng tất cả các giảng viên đã tạo điều kiện thuận lợi và nhiệt tình giảng dạy
cho chúng tôi trong suốt thời gian học vừa qua để chúng tôi có thể học tập tốt và đạt được kết

lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng.
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật
được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh nghiệp được ra đời.
ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối mạng được
cung cấp bở hãng Cisco. ISA (Internet Sercurity Acceleration) Server - ứng dụng bảo vệ mạng
theo mô hình phân lớp mạng, lọc gói tin, … được cung cấp bởi hãng Microsoft.
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm
khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng bảo mật hệ thống mạng
doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đã chọn và cùng thảo luận - ứng
dụng Microsoft Forefront TMG 2010 trong bảo mật mạng doanh nghiệp.
Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này và
chính thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management Gateway
(Forefront TMG) đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sự Forefront TMG
chính là phiên bản tích hợp của:
 Internet Security and Acceleration Server (ISA)
 Forefront Client Security
 Forefront Security for Exchange Server
 Forefront Security for SharePoint
Chính vì là một sản phẩm ra đời sau và thừa hưởng mọi tinh hoa của các ứng dụng trên nên
Forefront TMG có khả năng:
 Bảo vệ hệ thống đa dạng hơn
 Ngăn chặn được sự lây nhiễm virus, malware trên phương diện rộng và hiệu quả
Mặc dù ra đời sau tuy nhiên ứng dụng Microsoft Forefront Threat Management Gateway 2010
đã sớm khẳng định được vị thế của mình. Rõ nét là đang được nhiều doanh nghiệp tìm hiểu và
áp dụng Microsoft Forefront TMG 2010 vào mô hình mạng của doanh nghiệp mình.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 4
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 6
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
MỤC LỤC

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình I.1.2 - Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại
Do đó, các hệ thống mạng doanh nghiệp trên toàn cầu đều cấp thiết tìm giải pháp bảo mật,
ngăn chặn các mối nguy hại từ các cuộc tấn công từ Internet. Song song đó có rất nhiều
công ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp, sản phẩm và thiết bị hỗ trợ
cho việc an ninh hệ thống mạng. Trong số đó, công ty phần mềm hàng đầu thế giới
Microsoft đã trình làng Microsoft Forefront Threat Management Gateway (TMG) 2010, một
thế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet Security
Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn
công và lọc các mã độc hại khi truy cập Internet. Hơn thế nữa, Microsoft Forefront TMG
2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client
Security, Forefront Security for Exchange Server và Forefront Security for Sharepoint nên nó
cung cấp các đặc điểm nổi bật về bảo mật như:
 Bảo vệ hệ thống đa dạng và hoàn thiện.
 Phát hiện virus, malware và ngăn chặn tấn công.
 Giao diện quản lý thân thiện và dễ dàng.
 Giám sát hệ thống mạng được tăng cường.
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là chương trình
chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của chúng ta đều phải
qua Forefront TMG kiểm duyệt rất kỹ lưỡng. Microsoft Forefront TMG 2010 cho phép thiết
lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng Internet để kinh
doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác. Nó cung cấp
nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào
một, (TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật
web. Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được
chia ra làm 3 phần riêng biệt:
_____________________________________________________________________________________

Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.Quá trình phát triển:
Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển sau:
 1/1997 - Microsoft Proxy Server v1.0 (Catapult)
 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server
2000)
 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA Server
2004)
 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA Server
2006)
 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront
TMG 2010)
Hình I.2.2.1 - Sơ đồ phát triển của Forefront TMG 2010
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 11
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3. PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010
Hình I.3.1 - Thông tin prices và licenses của các phiên bản Forefront
Hình I.3.2 - Thông tin Price và Licenses của Windows Server 2008
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 12
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
4. CÁC TÍNH NĂNG CỦA TMG 2010

_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 14
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Bảng I.4.2.2 So sánh các tính năng giữa ISA 2006 và Forefront TMG
4.3.System Requirement
Bảng I.4.3.1 Yêu cầu cài đặt
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 15
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
5. CÁC MÔ HÌNH FIREWALL
Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa topo mạng, đầu
tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất cả các mạng cần thiết,
chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network rule.
Forefront TMG hỗ trợ hai kiểu network rule đó là:
• Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu
thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.
• NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng,
kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP
của network adapter tương ứng.
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho tường
lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.
5.1.Network template.
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn
(Network Template) để cho phép tạo các kịch bản Firewall điển hình. Bạn hoàn toàn có

_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 17
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
trong một DMZ là Web Server, DNS Server hoặc WLAN network. Một 3-Leg Perimeter
Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích
thực”. Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau.
5.2.3. Back Firewall
Hình I.5.2.3.1 Back Firewall Template
Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức
tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức tường lửa TMG,
một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng
nội bộ. Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator,
khi Forefront TMG được đặt phía sau Front Firewall. Back firewall sẽ bảo vệ mạng bên
trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng
được phép từ các máy tính trong DMZvà từ Front Firewall.
5.2.4. Single Network Adapter
Hình I.5.2.4.1 Single Network Adapter Template
Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa
TMG. Điều này chỉ được sử dụng khi các bức tường lửa là có được sử dụng như một
máy chủ proxy web. Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP,
HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN
Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ
một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều
dịch vụ theo đó mà không có. Nó chỉ có các tính năng dưới đây:
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 18
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

1
• TMG 2010 cho tất cả các triển khai khác.
Bảng II.1.1 So sánh các tính năng của TMG MBE và TMG FULL
1* TMG MBE đã được phát hành với Windows EBS vào cuối năm 2008. TMG 2010 được phát hành vào cuối năm 2009.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 20
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2. GIAO DIỆN QUẢN LÝ
Forefront TMG Management Console được tổ chức lại để đơn giản hóa trong cấu hình và
giám sát. Nhiều điều khiển định hướng nhiệm vụ được chuyển đến gần hơn và dễ dàng truy
cập hơn trong tab Task. Ví dụ, những điều khiển ở bên trái giao diện của ISA Server 2004
và ISA 2006 được bỏ bớt, và các chức năng liên quan đó được nhóm lại bên trong tab Task.
Hình II.2.1 Giao diện quản lý của Forefront TMG
Hình II.2.2 Giao diện quản lý của ISA 2006
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 21
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3. CÁC TÍNH NĂNG MỚI
 Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native 64-Bit
Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nên cần thiết phải có
các thiết bị để xử lý lưu lượng truy cập nhanh. ISA Server là một "phần mềm" tường lửa
dựa trên hệ điều hành Windows. Một hạn chế được biết đến của ISA Server là nó không
thể được cài đặt trên một nền tảng 64-bit. TMG không có giới hạn này, bạn phải cài đặt
chúng trên hệ điều hành 64-bit. Windows Server 2008 và Windows EBS cũng hỗ trợ môi

9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web.
10) Dữ liệu được gửi đến xử lý đích.
11) Việc xử lý đích lấy nội dung tích lũy.
12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP.
13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích.
14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng.
15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine.
16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.
Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG tích lũy nội
dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về, và sau đó kiểm tra nội
dung. Nếu nội dung được tải về và kiểm tra trong vòng 10 giây, TMG chuyển tập tin đến
người dùng cuối. Nếu nội dung được tải về và kiểm tra các tập tin mất hơn 10 giây, TMG sẽ
gửi một trang tiến độ HTML cho người dùng thể hiện tiến trình tải về hoặc cho thấy một
phản ứng trickled tùy thuộc vào loại nội dung được tải về. Một phản ứng trickled là cùng
một loại phản ứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác.
Hình II.3.2 Quản lý down load với Forefront TMG
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 23
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
 Giao diện người dùng, quản lý và báo cáo nâng cao
TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services (SRS). SRS có
thể tạo ra các báo cáo từ cơ sở dữ liệu SQL. SRS cho phép báo cáo thiết kế và định
nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch vụ Web có thể lập trình
giao diện, và nhiều hơn nữa. SRS gồm dịch vụ cơ sở dữ liệu và trong trường hợp của
SRS 2005, dịch vụ web được tổ chức bởi IIS, IIS yêu cầu trên máy tính TMG vì lý do
này. IIS cũng được yêu cầu cho Windows EBS quản lý báo cáo từ xa. IIS không phải là
một vai trò cần thiết cho TMG 2010.

một thông báo HTML mà bạn cấm truy cập vào website để vào trang web bị cấm theo
chính sách công ty. Thông báo HTML có thể được cấu hình trên TMG.
 HTTPS Inspection
HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên khởi động
từ các máy tính trong mạng được bảo vệ. Tính năng này đóng một vai trò quan trọng
trong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ Web dựa
trên các máy chủ e-mail như Outlook Web Access (OWA) và các trang web khác HTTPS.
Khi một người dùng yêu cầu một trang an toàn trên Internet, TMG chặn các phản hồi từ
máy chủ Web, tạo ra một giấy chứng nhận cùng tên và gửi lại cho người dùng. Trong
cách này tất cả lưu lượng HTTPS có thể được TMG kiểm tra trước khi nó được thông
qua giữa máy khách và máy chủ.
 Hỗ trợ E-Mail Anti-Malware và Anti-Spam
TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng chống phần
mềm độc hại.
Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra bằng cách sử
dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người dùng. Đối với các
giao thức SMTP, bạn có thể xác định một con đường SMTP, là một thực thể đại diện cho
một liên kết giữa TMG và nội bộ hoặc các máy chủ thư bên ngoài. Mục đích các tuyến
đường SMTP là để đơn giản hóa cấu hình và cung cấp một liên kết giữa TMG và
Internet, giữa TMG và published mail server. Giao diện người dùng mới làm cho nó dễ
dàng hơn để quản lý cấu hình published mail server, bạn chỉ cho phép antivirus (AV)
quét trên các tuyến đường SMTP.
Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu lượng truy
cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc được gửi qua e-
mail.
 Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)
Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là bởi vì nó có
thể được sử dụng như một biện pháp chủ động để phát hiện xâm nhập. IPS là một thiết
bị bảo vệ hệ thống. Một IPS thường được coi là một phần mở rộng của Intrution
Detection System (IDS), nhưng cũng có thể được xem như là một hình thức kiểm soát