Bài 6: Bảo mật mạng ngoại vi

Cài đặt một phần mềm tường lửa bất kỳ (TMG, ISA, ZoneAlarm, Comodo Firewall,
AVS Firewall, PeerBlock,…). Nêu ý tưởng, cấu hình, thực hiện các luật và chính sách
cho tường lửa này.

Để bảo mật mạng ngoại vi, hiện nay chúng ta có một số tường lửa mềm (phần mềm) thông
dụng:

- Comodo Firewall
- ESET Smart Security

- ZoneAlarm

- Outpost Firewall Pro

- F-Secure Internet Security

- TMG - Threat Management Gateway

Ở bài này, nhóm chúng em sẽ chọn tường lửa TMG để báo cáo.

1. GIỚI THIỆU VỀ TMG - THREAT MANAGEMENT GATEWAY

- Microsoft Forefront Threat Management Gateway 2010 (TMG) là Firewall được Microsoft
nâng cấp từ các phiên bản Microsoft ISA Server trước đây. TMG được nâng cấp và cải tiến
khá nhiều tính năng bảo mật như:
+ Lọc URL.
+ Chống virus trên web.
+ Chống malware.

+ Chuyển tiếp SSL.

+ IDS, IPS: Hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vể
email.

+ Bên cạnh đó còn vô số những thứ khác cũng được thay đổi để việc quản lý hàng ngày đối
với TMG trở nên dễ dàng hơn.

- Yêu cầu cài đặt:

- Tính năng chính của TMG:

- Các điểm mới của TMG so với ISA:

- Các mô hình mạng trong TMG:
+ Edge Firewall
+ 3-Leg Perimeter

+ Front Firewall

+ Back Firewall

+ Single Network Adaptor

- Cơ chế hoạt động:

2. MÔI TRƯỜNG VÀ MÔ HÌNH MẠNG
- Xây dựng mô hình mạng với tường lửa TMG bảo vệ lớp mạng nội bộ (172.16.1.0/16) với 1
Domain Controller để quản lý tập trung các máy tính theo domain.

- Mô hình mạng:

Mô hình mạng thiết lập Firewall

- Với mô hình trên, chúng ta chỉ cần chuẩn bị 2 máy tính (VMWare). Trong đó:

+ Máy 1: Windows Server 2012 làm Domain Controller (1 card mạng Host-only).
+ Máy 2: Windows Server 2008 có cài đặt tường lửa TMG.

- Thông tin card mạng của cá máy như sau:

 STT Server Name Interface 1 Interface 2

1 Domain IP 172.16.1.2
Controller
SM 255.255.0.0

DG

DNS 172.16.1.2

2 Firewall TMG IP 172.16.1.1 192.168.1.24

SM 255.255.0.0 255.255.255.0

DG 192.168.1.100

DNS 172.16.1.2 8.8.8.8

3. THIẾT LẬP MÁY CHỦ DOMAIN CONTROLLER

- Bước 1: Chuẩn bị máy ảo làm Domain Controller:

+ 1 Network Adapter Host-Only

+ OS: Windows Server 2012

- Bước 2: Đặt IP cho máy Domain Controller là 172.16.1.2/16

- Bước 3: Đặt DNS Suffix thành nhom5.local

Thay đổi DNS Suffix trong System Properties

-> Sau đó Restart lại máy tính để áp dụng các thay đổi.

- Bước 4: Nâng cấp máy chủ thành Domain Controller

+ Cài đặt dịch vụ Active Directory Domain Service

▪ Vào Server Manager -> Manage -> Add Roles and Features
▪ Chọn Next tại các bước Before You Begin, Installation Type, Server Selection
▪ Chọn Active Directory Domain Services tại bước Server Roles
▪ Chọn Group Policy Management tại bước Features và Next ở bước AD DS
▪ Xác nhận và chọn Install ở bước Confirmation
▪ Chờ quá trình cài đạt hoàn thành và chọn Close để kết thúc
-> Sau khi cài đặt hoàn tất dịch vụ Active Directory Domain Service, tiến hành nâng cấp lên
Domain Controller.
+ Nâng cấp máy chủ Active Directory lên Domain Controller
▪ Vào Server Manager sẽ thấy biểu tượng cảnh báo, nhấn vào và chọn Promote this server to
a domain controller

▪ Thực hiện quá trình nâng cấp như sau:

Chọn Add a new forest và Root domain là tên domain

Thiết lập DSRM password và các tùy chỉnh như trên

 Thiết lập NetBIOS domain name

Giữ nguyên các tùy chỉnh mặc định

 Chọn Install và chờ quá trình nâng cấp hoàn tất
-> Sau khi hoàn tất quá trình này, máy chủ sẽ khởi động lại và hoàn tất quá trình nâng cấp
Domain Controller. Vào Properties của Computer để kiểm tra.
4. CÀI ĐẶT VÀ CẤU HÌNH MÁY FIREWALL TMG
- Bước 1: Chuẩn bị máy ảo làm Firewall TMG
+ Có 2 card mạng:
▪ Card 1: Host-only
▪ Card 2: Bridge
+ OS: Windows Server 2008
- Bước 2: Download TMG 2010 về máy, ta click đúp vào file exe để giải phóng các file
trong tệp. Sau khi các file được giải phóng, ta sẽ thấy trang Welcome to Microsoft Forefront
TMG.