LỜI CẢM ƠN
Để hoàn tất đồ án với sự cố gắng và tìm hiểu. Bản thân em trong những
tháng ngày học tập tại trường, em luôn ghi nhận những sự đóng góp giúp đỡ
nhiệt tình của những người bên cạnh mình, sự ủng hộ của thầy cô và bạn bè đã
giúp em có thêm động lực để hoàn thành đồ án, nhân đây em muốn gửi lời cảm
ơn chân thành nhất tới thầy cô và bạn bè.
Lời cảm ơn trân trọng đầu tiên em muốn dành tới cô giáo Ths.Nguyễn Thị
Duyên, người cô đã dìu dắt và hướng dẫn em trong suốt quá trình làm đồ án, sự
chỉ bảo và định hướng của cô giúp em tự tin tìm hiểu về đề tài của mình.
Em xin trân trọng cảm ơn các thầy giáo, cô giáo trong bộ môn mạng và
truyền thông, khoa công nghệ thông tin – Trường đại học Công nghệ thông tin &
truyền thông đã giúp em hoàn thành được đồ án này.
Em muốn gửi lời cảm ơn chân thành đến tập thể lớp MMT-K10A đã cùng
em đi qua những tháng ngày miệt mài học tập, cùng chia sẻ những niềm vui, nỗi
buồn, động viên em đi qua những khó khăn, để em vững bước vượt qua những
vất vả.

Thái Nguyên, ngày… tháng … năm 2016
Sinh viên thực hiện
TẠ VĂN HÙNG

1


LỜI CAM ĐOAN
Em xin cam đoan: Nội dung của đề tài đồ án tốt nghiệp với tên đề tài
“Xây dựng một số giải pháp bảo mật cho hệ thống mạng Trường ĐH
CNTT&TT sử dụng Microsoft Forefront TMG 2010” là không sao chép nội
dung từ bất kỳ bản đề tài nào không phải do em làm ra.
Những phần sử dụng tài liệu tham khảo trong bài báo cáo đã được ghi rõ
trong phần tài liệu tham khảo. Các số liệu, kết quả trình bày trong đồ án là hoàn

1.3.1 Các chức năng chính của TMG 2010..................................................17
1.3.2 Các tính năng nổi bật của TMG 2010 .................................................18
1.4 Lý do chọn TMG thay vì ISA...................................................................18
1.5 Giao diện của TMG 2010 .........................................................................22
CHƯƠNG 2: KHẢO SÁT & PHÂN TÍCH HỆ THỐNG MẠNG TẠI TRƯỜNG
ĐH CNTT&TT..................................................................................................24
2.1 Khảo sát hệ thống mạng của Trường ĐH CNTT&TT ...............................24
2.1.1 Khảo sát hiện trạng.............................................................................24
2.1.2 Mô hình mạng của trường ĐH CNTT&TT .........................................27
2.2 Phân tích hệ thống mạng của Trường ĐH CNTT&TT ..............................33

3


2.2.1 Phân tích hệ thống mạng ....................................................................33
2.2.2 Đề xuất một số giải pháp bảo mật có thể áp dụng ...............................34
2.2.3 Lựa chọn giải pháp và xây dựng quy trình bảo mật ............................35
2.3 Yêu cầu hệ thống......................................................................................37
2.3.1 Yêu cầu phần cứng.............................................................................37
2.3.2 Yêu cầu phần mềm.............................................................................38
CHƯƠNG 3: XÂY DỰNG CHƯƠNG TRÌNH DEMO.....................................39
3.1 Cài đặt forefront TMG 2010.....................................................................39
3.1.1 Yêu cầu mô phỏng cài đặt ..................................................................39
3.1.2 Cài đặt forefront TMG 2010...............................................................39
3.2 Cấu hình các Access Rule ........................................................................41
3.2.1 Web Access........................................................................................41
3.2.2 DNS Query ........................................................................................44
3.2.3 HTTPS Inspection..............................................................................46
3.2.4 Tạo rule cho phép người sử dụng Internet trong giờ làm việc .............50
3.2.5 HTTP Filter........................................................................................50

Hình 3.7: Tùy chọn cấu hình Malware Inspection cho rule ................................43
Hình 3.8: Cấu hình source và destination network cho rule................................43
Hình 3.9: Cấu hình hoàn tất, Apply để lưu cấu hình trên Forefront ....................44
Hình 3.10: Tạo mới Access rule ........................................................................44
Hình 3.11: Chọn giao thức là DNS ....................................................................45
Hình 3.12: Cấu hình source và destination cho rule ...........................................45
Hình 3.13: Hoàn thành access DNS ...................................................................46
Hình 3.14: Bật tính năng HTTPs Inspection ......................................................46
Hình 3.15: Cấu hình cài đặt chứng chỉ nhận diện mã độc...................................47
Hình 3.16: Cài đặt chứng chỉ thành công ...........................................................47

5


Hình 3.17: Triển khai chứng chỉ trên domain.....................................................48
Hình 3.18: Triển khai chứng chi trên domain.....................................................48
Hình 3.19: Download file từ eicar.org sử dụng giao thức bảo mật .....................49
Hình 3.20: Cấm download .................................................................................49
Hình 3.21: Bật allow web internal .....................................................................50
Hình 3.22: Chọn thời gian cho phép truy cập internet ........................................50
Hình 3.23: Bật configure HTTP.........................................................................51
Hình 3.24: Kết quả khi download 1 file .exe sẽ bị cấm ......................................52
Hình 3.25: Tạo luật cấm ....................................................................................52
Hình 3.26: Chọn giao thức cấm .........................................................................53
Hình 3.27: Add trang web muốn cấm truy cập...................................................53
Hình 3.28: Kết quả trang web bị cấm.................................................................54
Hình 3.29: Bật tính năng Malware Inspection....................................................55
Hình 3.30: Thực hiện cấu hình trong mục Properties .........................................55
Hình 3.31: Các tùy chọn nâng cao của Malware Inspection với Rule Setting.....56
Hình 3.32: Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa...............56


Active Directory

ADSL

Asymmetric Digital Subscriber Line

ARP

Address Resolution Protocol

AP

Access Point

BSSs

Independent Basic Service sets

CPU

Center processing unit

DHCP

Dynamic Host Configuration Protocol

DNS

Domain Name System

OU

Organizational Unit

OSI

Open Systems Interconnection

PC

Personal Computer

SAM

Security Accounts Manager

SSID

Service Set Identifier

SMTP

Simple Mail Transfer Protocol

STP

Shield Twisted Pair

UPS


đầu trước khi đi xây dựng một hệ thống mạng cho người sử dụng. Vậy nên việc
sử dụng các thiết bị tường lửa trong các hệ thống mạng để đảm bảo an ninh, an
toàn mạng là rất cần thiết. Nhằm ngăn chặn các kết nối không mong muốn, giảm
nguy cơ mất kiểm soát hệ thống hoặc bị tấn công và lây nhiễm các chương trình
và mã độc hại.
Trong bài đồ án em tìm hiểu về vấn đề “Xây dựng một số giải pháp bảo
mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft
Forefront TMG 2010”
Dù đã cố gắng rất nhiều trong quá trình tìm hiểu và viết báo cáo, nhưng
chắc chắn không thể tránh khỏi những sai lầm và thiếu sót. Em rất mong nhận
được những ý kiến đóng góp và chỉ bảo thêm của các thầy, cô giáo giúp em hoàn
thiện bài hơn.
Thái Nguyên, ngày… tháng … năm 2016
Sinh viên thực hiện
TẠ VĂN HÙNG

9


TỔNG QUAN ĐỀ TÀI
 Lý do chọn đề tài
Ngày nay việc sử dụng Internet đã phổ biến gần như toàn bộ trong các công
ty, các doanh nghiệp, các trường học. Các ứng dụng của mạng Internet giúp công
việc của các trường học diễn ra nhanh chóng thuận tiện và hiệu quả cao hơn. Do đó
hiện nay ở các khu vực trung tâm, các trường học đều trang bị tối thiểu một đường
internet, thậm chí có thể nhiều hơn thế. Tuy nhiên bên cạnh những tiện ích và hiệu
quả mà mạng Internet đem lại thì việc quản lý sử dụng internet vẫn chưa được xem
xét và quan tâm đúng mức có thể xảy ra một số hệ quả.
- Virus từ trên internet lây lan và nhiễm vào hệ thống mạng vào máy tính.
- Dữ liệu quan trọng bị rỏ rỉ do các yếu tố con người, virus

- Xây dựng chương trình demo
 Phương pháp tiếp cận
- Cách tiếp cận: nghiên cứu về Firewall và các tính năng của TMG 2010
- Sử dụng phương pháp nghiên cứu:
Phương pháp đọc tài liệu
Phân tích thực trạng và yêu cầu của trường học

11


CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1 Tổng quan về Firewall
1.1.1 Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép,
nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong
muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo
vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted
network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của
một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo
mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet)
và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
1.1.2 Chức năng chính
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet
và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet.
 Chức năng cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài.

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
- Dạng thông báo ICMP (ICMP message type)
- Giao diện packet đến (incomming interface of packet)
- Giao diện packet đi (outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua
firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản
được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá
việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn
nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số
loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ
nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục
bộ.

13


1.1.4 Ưu nhược điểm của Firewall
 Ưu điểm
- Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những
ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet
đã được bao gồm trong mỗi phần mềm router.
- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng
dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Nhược điểm
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự
lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và
điều khiển.

tường lửa này được gọi với một tên khác: Forefront Threat Management
Gateway - Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên
có thêm nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá
trình đảm nhiệm chức năng tường lửa của mình.
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là
ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ
điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server
2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như:
Windows 7, Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ
điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng
đến một software mới của Microsoft đó là Microsoft forefront Threat
Management Gateway 2010. Một thế hệ mới của phần mềm tường lửa phát triển
trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tích hợp các
tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mã độc hại
khi truy cập Internet. Hơn thế nữa, Microsoft Forefront TMG 2010 chính là phiên
bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client
Security, Forefront Security for Exchange Server và Forefront Security for
Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:
- Bảo vệ hệ thống đa dạng và hoàn thiện.
- Phát hiện virus, malware và ngăn chặn tấn công.

15


- Giao diện quản lý thân thiện và dễ dàng.
- Giám sát hệ thống mạng được tăng cường.
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa
(Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra
vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng.
Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN,

1.3 Các tính năng của TMG 2010
1.3.1 Các chức năng chính của TMG 2010

Hình 1.2: Các chức năng chính của TMG 2010
- Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra ngoài Internet và
ngược lại.
- Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi truy
cập web.
- Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ e-mail
độc hại.
- Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng các
dịch vụ và tài nguyên mạng trong nội bộ.
- Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ
bên ngoài.

17


1.3.2 Các tính năng nổi bật của TMG 2010
- Enhanced Voice over IP: cho phép kết nối và sử dụng VoIP thông qua TMG
- ISP Link Redundancy: hỗ trợ load Balancing và Failover cho nhiều
đường truyền Internet.
- Web Anti-Malware: quét virus, phần mềm độc hại và các mối đe dọa
khác khi truy cập web.
- URL-Filtering: cho phép hoặc cấm truy cập các trang web theo danh
sách phân loại nội dung sẵn có
- HTTPS Insdection: kiểm soát các gói tin được mã hóa HTTPS để phòng
chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate
- E-Mail Protection Subscription service: tích hợp với Forefront Protection
2010 For Exchange Server và Exchange Edge Transport Server để kiểm soát

thể làm tăng sự ổn định và cung cấp các cải tiến hiệu suất đáng kể trong một số
môi trường. Tăng cường kết nối mạng thế hệ Windows bao gồm các tính năng
như Receive Window Auto Tuning, Receive-Side Scaling (RSS), Compound
TCP và Explicit Congestion Notification (ECN). Sự thay đổi quan trọng nhất
trong tăng cường kết nối mạng mới là Windows Filtering Platform (WFP), cho
phép TMG tích hợp với tăng cường kết nối mạng chặt chẽ nhiều hơn trong các
phiên bản trước. Ngoài ra, các đặc điểm kỹ thuật mới NDIS cho phép các trình
điều khiển tường lửa TMG để lọc lưu lượng truy cập ở tầng hai và cung cấp hỗ
trợ VLAN và NIC.
Bảo vệ Web nâng cao - Giống như người tiền nhiệm của nó, TMG là một
hệ thống phòng thủ nhiều lớp ngoài ra còn cung cấp truy cập từ xa. Đa số các
tính năng mới trong TMG được tập trung vào kịch bản proxyforward (gửi đi), tuy
nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài
nguyên trên Internet, TMG hiện nay bao gồm các khả năng sau đây web bảo vệ
tiên tiến:
- URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn
truy cập đến các trang web được cho là độc hại hoặc không được phép bởi các
chính sách sử dụng của công ty
- Web antimalware: Với chức năng quét virus và phần mềm độc hại được
tích hợp, TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin.
Người dùng được bảo vệ khi tải tập tin.

19


- Network Inspection System (NIS): NIS là một phát hiện xâm nhập mới
với tính năng hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên
giao thức. Với chữ ký được phát triển bởi Microsoft Malware Protection Center
(MMPC) NIS được thiết kế để ngăn chặn các lỗ hổng trong phần mềm Microsoft
được khai thác từ xa.

cấp dịch vụ Internet khác nhau trong một kịch bản cân bằng tải hoặc chuyển đổi
dự phòng
Như với bất kỳ việc nâng cấp sản phẩm chính nào có nhiều cải tiến nhỏ
hơn mà có thể không chú ý được. Chúng bao gồm:
- SIP filter: Bảo vệ lưu lượng Voice over IP (VoIP) là dễ dàng hơn nhiều
với việc bổ sung củaSession Initiation Protocol (SIP) bộ lọc trong TMG
- TFTP filter: Một TFTP mới làm đơn giản hoá quá trình cung cấp truy
cập an toàn tới các máy chủ TFTP.
- Cải thiện trang thông báo lỗi: Với các gói dịch vụ mới nhất, xem và
cảm nhận của trang báo lỗi được cải thiện nhiều. Chúng cũng dễ dàng tùy biến.
- Kết hợp với SCOM: TMG bao gồm việc hỗ trợ tích hợp với System
Center Operations Manager (SCOM) 2007 và các phiên bản sau đó.
Forefront Threat Management Gateway (TMG) 2010 cung cấp bảo vệ
nhiều hơn đáng kể hơn so với người tiền nhiệm của nó với việc hỗ trợ 64-bit và
cải tiến hệ thống điều hành cơ bản ổn định, hiệu suất và khả năng mở rộng
củaTMG đến nay vượt trội hơn so bất kỳ phiên bản trước của máy chủ ISA.
TMG bao gồm khả năng bảo vệ web tiên tiến nhiều không tìm thấy trong máy
chủ ISA, bao gồm lọc URL, quét virus và phần mềm độc hại, phát hiện và phòng
chống xâm nhập tiên tiến và khả năng kiểm tra HTTPS. Mặc dù những cải tiến
được thực hiện trong TMG chủ yếu tập trung vào bảo mật gửi đi, TMG bao gồm
hỗ trợ cho việc tích hợp với Exchange cung cấp bảo vệ e-mail tiên tiến. Ngoài ra,
TMG vẫn cung cấp truy cập từ xa an toàn với sự hỗ trợ cho việc xuất bản
Exchange 2010 và SharePoint 2010. Truy cập từ xa và VPNsite-to-site vẫn được
hỗ trợ, và với việc bổ sung hỗ trợ cho giao thức SSTP, truy cập của khách hàng
dựa trên VPN là mạnh mẽ hơn bao giờ hết. Đã có những cải tiến trong khai thác
và báo cáo và các tùy chọn triển khai mới. Cải tiến NAT hỗ trợ nhiều cho nhà
cung cấp dịch vụ Internet là cả hai cải thiện chào đón rằng sẽ đáp ứng nhu cầu
quan trọng đối với các quản trị viên ISA hiện tại nhiều. Đó là lý do chọn TMG.

21


CHƯƠNG 2:
KHẢO SÁT & PHÂN TÍCH HỆ THỐNG MẠNG
TẠI TRƯỜNG ĐH CNTT&TT
2.1 Khảo sát hệ thống mạng của Trường ĐH CNTT&TT
2.1.1 Khảo sát hiện trạng
Tiền thân Trường ĐH CNTT&TT là Khoa Công nghệ thông tin là đơn vị
đào tạo thành viên thuộc Đại học Thái Nguyên được thành lập ngày 14/12/2001
theo Quyết Định số 6946/QĐ-BGD ĐT-TCCB của Bộ trưởng Bộ Giáo dục và
Đào tạo.
Khoa Công nghệ thông tin thực hiện mô hình phối hợp quản lý và đào tạo
với Viện Công nghệ thông tin thuộc Viện Khoa học và Công nghệ Việt Nam có
chức năng, nhiệm vụ đào tạo nguồn nhân lực, nghiên cứu khoa học và chuyển
giao công nghệ trong các lĩnh vực Công nghệ thông tin và truyền thông phục vụ
sự nghiệp CNH, HĐH các tỉnh trung du và miền núi phía Bắc nói riêng, cả nước
nói chung.
Sau 10 năm xây dựng và phát triển, ngày 30/3/2011, Thủ tướng Chính phủ
ký quyết định thành lập Trường Đại học Công nghệ Thông tin và Truyền thông
trên cơ sở nâng cấp Khoa CNTT thuộc Đại học Thái Nguyên.
Những năm gần đây, Trường ĐH CNTT&TT của chúng ta đã và đang có
nhiều thay đổi, nhiều xu hướng phát triển mới, và những thành tích tiến bộ vượt
trội trong tất cả việc dạy và học. Điều này phải kể đến sự đóng góp tích cực của
các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn
Thông – Tin Học.
Cùng với sự phát triển của trường ĐH CNTT&TT, thì những nhu cầu về
bảo mật thông tin của Trường ĐH CNTT&TT cần được nâng cao và cải thiện.
Trước những sự tấn công không ngừng của các đối tượng xấu đó thì các ứng
dụng bảo mật hệ thống mạng là tấm khiêng che chắn khá vững chắc cho mạng
của trường. Vì lý do đó mà em muốn nghiên cứu ứng dụng bảo mật hệ thống
mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010 trong bảo