Microsoft Forefront TMG – установка и настройка Forefront TMG клиента. Установка клиента TMG
Microsoft Forefront Threat Management Gateway 2010 поддерживает только операционные системы Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2.
Минимальные системные требования:
- поддерживаемые операционные системы: Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2;
- компьютер с двухъядерным (1 ЦП x два ядра) 64-разрядным процессором ;
- 2 Гб оперативной памяти;
- один раздел локального жесткого диска с файловой системой NTFS;
- компьютер с четырехъядерным (2 ЦП x два ядра или 1 ЦП x четыре ядра) 64-разрядным процессором ;
- 4 Гб оперативной памяти
- 2,5 Гб свободного места на жестком диске (будет использоваться только для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ);
- два диска для ведения системного журнала и журнала TMG и один - для кэширования и проверки наличия вредоносных программ;
- одна сетевая плата, совместимая с операционной системой компьютера, для взаимодействия с внутренней сетью;
- дополнительная сетевая плата для каждой сети, подключенной к серверу Forefront TMG.
Установка продукта
Комплексный набор программ для обеспечения безопасности в сети, позволяющий повысить надежность охраны и усилить контроль за клиентскими и серверными операционными системами, благодаря интеграции с существующей ИТ-инфраструктурой и упрощению развертывания, управления и анализа.
Усилиями компании Майкрософт полная версия продукта (Forefront TMG), являющегося прямым наследником Microsoft ISA Server, вышла в первом полугодии 2009 года. Помимо всего функционала Microsoft ISA Server новый продукт включает в себя улучшения существующих, а также множество новых функций.
Forefront TMG продается в двух вариантах: Standard и Enterprise. Функционально они практически не отличаются, различия состоят лишь в лицензионных ограничениях, которые приведены ниже.
Процессоры | Без ограничений |
|
Поддержка 2Гб RAM | Без ограничений |
|
Балансировка загрузки сети | ||
Поддержка протокола Cache Array Routing | ||
Использование консоли Enterprise Management Console | ||
Необходимость лицензирования всех виртуальных машин по CPU в добавление к физическому CPU | ||
Возможность переноса на любой другой сервер | Лицензия выписывается на физический сервер и может меняться только раз в 90 дней | В любое время |
* Сервера Standard Edition могут управляться при помощи TMG Enterprise Management Console.
Рисунок 1: Окно установки Forefront Threat Management Gateway
Так выглядит окно установки , непосредственно перед установкой продукта нам необходимо запустить средство подготовки, которое настроит роли и компоненты Windows.
Рисунок 2: Средство подготовки к установке Forefront Threat Management Gateway
После завершение работы средства подготовки можно приступать непосредственно к самой установке Forefront Threat Management Gateway , которая происходит в три этапа:
- установка основных компонентов;
- дополнительные компоненты (SQL Express);
- инициализация системы.
Рисунок 3: Этапы установки Forefront Threat Management Gateway
На первом этапе установки предлагается выбрать директорию, куда будет установлен продукт, а так же указать диапазон адресов, которые будут входить во внутреннюю сеть сервера Forefront Threat Management Gateway .
Рисунок 4: Определение диапазона внутренней сети
Настройка выполняется с помощью специального мастера и не вызывает никаких сложностей.
Рисунок 5: Выбор IP-адресов
После указания сетевой платы автоматически будут подставлены диапазоны IP-адресов, которые будут входить во внутреннюю сеть сервера.
Рисунок 6: Выбор сетевой платы
Нам лишь остается подтвердить наш выбор нажатием ОК и мастер установки предупредит нас о том, что некоторые службы будут остановлены или перезапущены в момент установки продукта, далее все происходит в автоматическом режиме.
Процесс установки разработан таким образом, чтобы не вызывать вопросов даже у простого пользователя, хотя сам продукт рассчитан на системных администраторов и IT- специалистов. Надо сказать, что Microsoft заботится о своих пользователях и старается сделать все предельно просто и ясно.
В самом конце установки перед нами появляется окно, которое уведомляет нас о том, что установка закончена и сейчас нам следует запустить программу управления Forefront Threat Management Gateway .
Рисунок 7: Завершение установки Forefront Threat Management Gateway
Отмечаем галочкой предложенный пункт и нажимаем Готово. На этом установка завершена, и мы переходим на настройке продукта.
Первоначальная настройка
Перед нами появляется интерфейс продукта, но который нам пока не нужен, на этом этапе предлагается сделать первоначальную настройку программы, с помощью специального мастера, который проведет всю настройку в три этапа.
Рисунок 8: Мастер первоначальной настройки Forefront Threat Management Gateway
Внизу окна мы видим предупреждение о том, что в случае апгрейда с Microsoft ISA 2006 импортирование параметров конфигурации необходимо сделать до запуска этого мастера.
Сейчас нам следует выполнять простые инструкции мастера для того, чтобы Forefront TMG работал необходимым нам образом. На первом этапе мы будем настраивать параметры сети.
Рисунок 9: Настройка параметров сети Forefront TMG
Выбираем способ, который нам необходим и нажимаем Далее , на этом этот этап настройки будет завершен и мастер предлагает идти далее, к конфигурированию системы.
Рисунок 10: Настройка параметров сети Forefront TMG
Делаем настройку необходимых нам пунктов и выбираем Далее , на этом мастер заканчивает свою работу и нам остается еще один пункт настройки - это задание параметров развертывания Forefront TMG . Здесь первым делом мы должны выбрать использование службы Центра обновления Майкрософт для обеспечения работоспособности защитных механизмов, которые использует Forefront TMG .
Рисунок 11: Установка центра обновлений Майкрософт для Forefront TMG
Рисунок 12: Настройка параметров защиты Forefront TMG
На следующем этапе нам предлагается настроить выбранные нами компоненты.
Рисунок 13: Настройка обновлений антивирусных баз
Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее . На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG , сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт.
Для тех, кто по какой-то причине не доверяет этой программе, есть возможность отказаться от участия, хотя, на мой взгляд, это абсурдно, мы уже доверили свою безопасность этому продукту, поэтому сомневаться в данной программе не имеет смысла, никакой личной информации с компьютера не собирается.
Рисунок 14: Программа улучшение качества программного обеспечения
На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting . Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее .
Рисунок 15: Выбор уровня участия в Microsoft Telemetry Reporting
На этом действии работа мастера первоначальной настройки завершена.
Рисунок 16: Запуск мастера веб-доступа
Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов.
Рисунок 17: Правила политики веб-доступа
На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений.
Отношение ресурса к тому или иному типу назначения осуществляется с помощью запроса к Microsoft Reputation Service , веб-адреса передаются серверу по защищенному каналу.
После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG .
Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки.
Рисунок 19: Параметры проверки наличия вредоносных программ
На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет.
Рисунок 20: Параметры проверки HTTPS в Forefront TMG
Мы разрешаем пользователям устанавливать HTTPS-соединения с веб-сайтами, не будем проверять этот трафик, но будем блокировать его, если сертификат, который используется, является недопустимым.
Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик.
Рисунок 21: Настройка веб-кэширования
Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена.
Рисунок 22: Завершение настройки веб-доступа
По итогам установки и первоначальной настройки хочется сказать, что установщик позволяет сделать очень гибкую настройку Forefront TMG , множество стандартных схем предусмотрено самим установщиком, нам предоставляется возможность их редактирования, а так же возможность создания собственных условий и политик, которые в полной мере соответствуют нашим потребностям.
Функциональность Forefront TMG
Теперь посмотрим на внутренности Forefront TMG и по традиции начнем с интерфейса, который сделан по принципу «проще не придумаешь». Весь интерфейс делится на три столбца, каждый столбец содержит четко определенную информацию, которую он несет, ее можно разделить на три элемента:
- название узла;
- функционал и статистика его работы;
- задачи, которые возможно выполнять с помощью данного узла.
Чтобы было более понятно, рассмотрим концепт на конкретном примере.
Отображение состояния защиты
Рисунок 23: Панель состояния работы Forefront TMG
В левой части мы видим название узла - Панель
, по центру указана различная информация о модулях и статистика работы, а в самом правом столбце мы видим задачу, которую возможно выполнить – Обновить
и этот концепт мы увидим, выбрав любой
узел Forefront TMG
, так же в правом (3) столбце обычно расположена справка по данному узлу и задачам.
Это очень удобная концепция построения интерфейса, все «как на ладони» перед нашими глазами. Раздел Панель - это снимок сводки действий Forefront TMG , выполненный в реальном времени. Все важные сведения отображаются на одном экране, что помогает быстро определять и устранять возникающие проблемы.
Самый первый блок мы уже рассмотрели, поэтому двигаемся дальше к разделу Наблюдение . По своей сути этот раздел является расшифровкой тех событий, которые мы наблюдаем на экране Панель .
Наблюдение за событиями
Рисунок 24: Наблюдение за текущим состоянием Forefront TMG
Данный раздел разбит на пять вкладок:
- оповещения;
- сеансы;
- средства проверки подключения;
- службы;
- конфигурация.
Оповещения - это реакция Forefront TMG на определенное событие. Для простоты и использования идентичные оповещения объединяются в группы. В правом блоке нам предоставляется возможность настройки определений.
Сеансы – функция наблюдения за сеансами Forefront TMG в реальном времени позволяет централизованно отслеживать клиентский трафик. Присутствует возможность изменения фильтра, приостановки и остановки сеанса наблюдения.
Рисунок 25: Наблюдение за сеансами в Forefront TMG
Средства проверки подключения - использую эту функцию можно выполнять регулярное наблюдение за подключениями определенного компьютера или url-адреса к компьютеру Forefront TMG .
Рисунок 26: Наблюдение за проверкой подключений в Forefront TMG
Службы – функция наблюдения за службами Forefront TMG в реальном времени. Есть возможность остановки и включения отдельных служб.
Рисунок 27: Наблюдение за службами Forefront TMG
Конфигурации – функция отслеживания репликации конфигурации на каждом элементе массива в реальном времени.
Теперь мы рассмотрим раздел Политика межсетевого экрана , в котором для защиты активов сети можно определить правила политики межсетевого экрана, разрешающие или запрещающие доступ к подключенным сетям, веб-сайтам и серверам.
Политики межсетевого доступа
Forefront TMG предоставляет возможности гибкой настройки правил и политик фильтрации трафика: добавление или удаление правил, а также внесение изменений в уже существующие правила.
Рисунок 28: Политика межсетевого экрана в Forefront TMG
Рисунок 29: Задачи политик межсетевого экрана в Forefront TMG
Каждая из задач осуществляется с помощью понятного и доступного мастера настройки.
В Forefront TMG
появился новый узел конфигурации, именуемый Политика веб-доступа
.
Фильтрация веб-трафика
В данном узле располагаются все настройки службы веб-прокси, параметры доступа пользователей к ресурсам Интернет по протоколам HTTP, HTTPS, FTP-over-HTTP (туннелированный FTP), а также параметры конфигурации модуля проверки пользовательского трафика на наличие вредоносного кода – Malware Inspection.
Рисунок 30: Политика веб-доступа в Forefront TMG
В правом углу мы можем наблюдать задачи, которые могут выполняться данным узлом. В состав данного узла входит компонент, который проверяет трафик на наличие malware – Malware Content Inspection .
Данный модуль использует движок Microsoft Antimalware Engine и позволяет инспектировать HTTP и туннелированный FTP-трафик клиентов веб-прокси.
Более того, можно проверять трафик даже исходящих HTTPS-соединений! При этом пользователь, чья SSL-сессия проверяется модулем Malware Inspection, получает уведомление об этом процессе. Также существует возможность исключить определённые веб-узлы из проверки.
Рисунок 31: Настройки модуля проверки трафика
При загрузке файлов большого объёма пользователю может быть продемонстрирована информация о процессе проверки загружаемых файлов на наличие вредоносного кода.
Теперь мы рассмотрим следующий узел, который называется Политика электронной почты .
Фильтрация электронной почты
Forefront TMG действует как релей между внутренними SMTP-серверами и внешними SMTP-серверами, расположенными за пределами организации, и применяет политики электронной почты к пересылаемым сообщениям.
Рисунок 32: Политика фильтрации электронной почты в Forefront TMG
Задачи, которые выполняются данным узлом, указаны в правом столбце, в соответствии с концепцией, которую мы разобрали вначале обзора. Следующий узел, который мы рассмотрим Система предотвращения вторжений.
Система предотвращения вторжений (IPS)
Forefront TMG включает в себя систему обнаружения вторжений уровня сети (Network based Intrusion Detection System, N-IDS), разработанную Microsoft Research и именуемую GAPA. В отличие от частичной реализации функционала механизма обнаружения сетевых вторжений, используемого в ISA Server, GAPA представляет собой полноценную систему N-IDS.
Microsoft обещает, что сигнатуры сетевых атак для расширения функционала GAPA будут периодически поставляться в виде пакетов обновлений через службу Microsoft Update.
Рисунок 33: Система предотвращения вторжений
В центральном столбце указаны названия сигнатур сетевых атак и действие, которое будет выполнено по умолчанию. Также в данном узле располагается модуль Обнаружение поведенческих вторжений , в нем можно настроить параметры для обнаружения предполагаемых вторжений на основе данных о сетевой активности.
Рисунок 34: Обнаружение вторжений по поведению в Forefront TMG
В этом разделе предлагается настройка параметров обнаружения для наиболее распространенных атак.
Рисунок 35: Настройка обнаружений вторжений
Так же присутствует обнаружение DNS-атак.
Рисунок 36: Настройка правил фильтрации (параметры IP)
При необходимости можно включить блокирование фрагментов IP.
Рисунок 37: Настройка параметров предотвращения Flood-атаки
В Forefront TMG реализована поддержка протокола SIP, а также функция VoIP (Voice over IP) NAT Traversal, позволяющая данному типу трафика проходить через шлюзы со службой преобразования сетевых адресов (NAT). Можно задать исключения IP-адресов, а так же назначить квоты SIP .
Политика удаленного доступа
Рисунок 38: Политика удаленного доступа в Forefront TMG
В этом разделе можно настроить и защитить виртуальную частную сеть VPN, которая позволяет двум компьютерам обмениваться данным через общедоступную сеть с имитацией частного подключения типа «точка-точка».
В Forefront TMG реализована поддержка протокола SSTP (Secure Socket Tunneling Protocol), позволяющего туннелировать трафик VPN-сессии внутри обычного протокола HTTP в рамках SSL-сессии. Этот механизм позволяет без проблем устанавливать VPN-соединения вне зависимости от конфигурации межсетевого экрана, веб-прокси сервера или службы трансляции сетевых адресов. На данный момент эту технологию поддерживают только ОС Windows Vista SP1 и Windows Server 2008.
Настройки сети
Данный узел разделен на семь вкладок:
- Сети - настройка сетевой среды, осуществляется путем определения сетей и отношений между ними.
- Наборы сетей - группировка сетей в наборы, которые могут использоваться в правилах Forefront TMG .
- Сетевые правила – определяют наличие соединения между сетями и его тип.
- Сетевые платы – в этом разделе представлены сведения о подключении для каждой установленной сетевой платы.
- Маршрутизация – представляет сведения о каждом статическом и активном маршруте в системе.
- Веб-цепочка – для запроса клиента веб-прокси следует создавать правила веб-цепочек, необходимых для определения способа маршрутизации подобных запросов.
- Избыточность IPS – наблюдение за избыточностью ISP, позволяет отслеживать распределение трафика между двумя ISP соединениями.
Рисунок 39: Настройки сети в Forefront TMG
В Forefront TMG реализована функция ISP Link Redundancy , которая позволяет организовать отказоустойчивое подключение к сети Интернет посредством сразу двух ISP-каналов. Причем возможно как горячее резервирование интернет-канала, так и балансировка сетевой нагрузки между интернет-каналами. Наконец-то появилась возможность направления определенного сетевого трафика через конкретный интернет-канал!
Настройки самой системы
Этот узел разделен на три вкладки:
- серверы;
- фильтры приложений;
- веб-фильтры.
Рисунок 40: Настройки системы в Forefront TMG
Вкладка Серверы представляет сведения обо всех серверах в конфигурации Forefront TMG . Фильтры приложений представляют собой дополнительный уровень безопасности и могут выполнять задачи, относящиеся к протоколу и системе, такие как проверка подлинности и проверка на наличие вирусов. Веб-фильтры могут отслеживать, анализировать и перехватывать данные, передаваемые по протоколу HTTP между локальной сетью и Интернетом.
Журналы и отчеты
Вкладка Ведение журнала - здесь собирается информация о событиях, которые происходили на компьютере Forefront TMG . При выборе Выполнить запрос в журнале начнут появляться данные о событиях в реальном времени с детальным описанием события.
Во вкладке «Отчет» создаются отчеты о работе Forefront TMG на основе файлов журнала, где регистрируются действия, выполняемые на компьютере. Отчет можно создать однократно или настроить создание периодических отчетов.
Рисунок 41: Журналы и отчеты в Forefront TMG
Центр обновления
Рисунок 42: Центр обновления Forefront TMG
В данном узле отображается состояние обновлений Майкрософт, установленных на данном сервере Forefront TMG. По умолчанию определения проверяются каждые 15 минут.
Устранение неполадок
На вкладке Устранение неполадок указаны полезные ссылки на материалы по обслуживанию и устранению неполадок связанных с Forefront TMG .
Рисунок 43: Устранение неполадок
Когда включено Отслеживание изменений и применяется изменение конфигурации, сведение об этих изменениях заносятся в виде записи в данный раздел. Имитатор трафика позволяет оценить политики межсетевого экрана по нескольким заданным параметрам.
Представление Сбор данных диагностики
позволяет выполнить запрос к базе данных журнала диагностики в соответствии с критериями фильтра.
Проверка возможности подключения
помогает проверить, могут ли серверы Forefront TMG
подключаться к определенным узлам назначения
в интернете.
На этом мы заканчиваем наш обзор , и нам лишь остается сделать итоговые выводы и дать оценку продукту:
Выводы
Forefront TMG является очень функциональным, гибким в настройке, простым в интеграции и соответствует современным требованиям по обеспечения комплексной безопасности корпоративных сетей. На наш взгляд, простота и эффективность будут склонять корпоративных клиентов к этому решению при выборе защиты для своей корпоративной сети.
Forefront TMG представляет собой новое поколение систем защиты интернет-шлюза корпоративной сети, включает в себя, пожалуй, все необходимые функции и в ближайшем будущем должен серьезно потеснить своего предшественника Microsoft ISA Server 2006.
К небольшим минусам Forefront TMG можно отнести отсутствие системы квотирования трафика (автоматического отключения пользователя при исчерпании лимита) и отсутствие антивирусной проверки FTP-трафика. Тем не менее, наша субъективная оценка решения Forefront Threat Management Gateway 9 из 10.
Данный материал является практическим применением двух конкретных технологий: Microsoft Hyper-V и Microsoft Forefront Threat Management Gateway, которые предлагает компания Microsoft.
Технические данные.
В рамках проекта есть ОДИН физический сервер с двумя сетевыми картами, поддерживающий технологию виртуализации. В рамках данной статьи необходимо решить задачу развертывания демилитаризованной зоны (ДМЗ) в виртуальной сети.
Прежде чем произвести установку всеx программных продуктов необходимо прочитать правила лицензирования, которые позволят рассчитать стоимость владения ПО. Лицензионное соглашение компании Microsoft регулярно обновляется и всегда доступно на сайте Microsoft.
1 Этап. Установка операционной системы на физический сервер.
Компания Microsoft предлагает 2 варианта виртуализации:
- C использование гипервизора Microsoft Hyper-V™ Server 2008 .
- C использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.
В рамках текущей статьи будет представлен вариант с использованием роли сервера Hyper-V.
Использование гипервизора Microsoft Hyper-V™ Server 2008 .
Компания Microsoft выпустила продукт, который позволяет физический сервер превратить в сервер виртуальных машин без установки операционной системы (на самом деле операционная система устанавливается, но она является специализированной для виртуализации). Продукт называется Microsoft Hyper-V Server.
Для его администрирования необходимо использовать оболочку Диспетчер Hyper-V, которую можно установить в операционные системы Windows 7 и Windows Vista, либо обладать знаниями по использованию оболочки Powershell.
Гипервизор Microsoft Hyper-V Server 2008 обеспечивает возможность использования технологии виртуализации БЕСПЛАТНО, но требует специализированных знаний и навыков при обслуживании и использовании дополнительного оборудования, например, ленточных накопителей или систем хранения данных.
Использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.
В рамках операционной системы Microsoft Windows 2008 R2 существует роль Hyper-V, которая предоставляет возможность создания виртуальных машин. При этом на физическом сервере существует возможность использования полноценной операционной системы, которая предоставит администраторам необходимую свободу действий.
Подробнее про установку гипервизора Microsoft Hyper-V™ Server и роли Hyper-V можно найти на сайте www.microsoft.ru .
2 Этап. Управление виртуальной сетевой инфраструктурой.
Несмотря на то, что сервер физический, существует возможность не назначать сетевые адреса на физические сетевые карты, что позволит обеспечить безопасность физического сервера. Однако отсутствие сетевого подключения к локальной сети исключает удаленное администрирование сервера, на котором установлена роль Hyper-V. Обычно для администрирования сервера назначают IP адрес доступа из внутренней сети.
Назначать сетевой адрес на сетевую карту, подключенную к сети Интернет не рекомендуется, так как нет средств для обеспечения полноценной защиты физического сервера.
Лучше всего настроить текущую сетевую инфраструктуру на сервере виртуализации. Так как рассматриваемая сетевая инфраструктура представляет собой трехноговую инфраструктуру (Внутренняя – ДМЗ – Внешняя), то необходимо создать три сети, две из которых будут физически присвоены к различным сетевым адаптерам, а третья будет виртуальной – для демилитаризованной зоны. Это делается через «Диспетчер виртуальной сети», как показано на рисунке 1.
В окне «Диспетчер виртуальных сетей» выбираем пункт «Создать виртуальную сеть». Выбираем тип «Внешний» и нажимаем «Добавить». Процесс создания сети представлен на рис. 2.
В рамках создаваемой инфраструктуры нам необходимо создать 3 вида сетей: две внешних сети с подключением к разным адаптерам (подключение к внутренний сети и подключение к провайдеру) и одну частную сеть из виртуальных машин (подключение серверов ДМЗ). В результате мы получим три сети (рис.3.)
3 Этап. Создание виртуальных машин.
При создании виртуальных машин, находящихся в демилитаризованной зоне, необходимо указать созданный адаптер Virtual DMZ. Основным шлюзом (default gateway) будет являться сервер Microsoft Forefront Threat Management Gateway. Конфигурацию и объем жестких дисков выбирают исходя из задач, возложенных на сервера.
Для создания виртуальной машины необходимо кликнуть правой кнопкой на сервере Hyper-V, выбрать пункт «Создать – Виртуальную машину». После чего откроется окно приглашения.
В окне «Укажите имя и месторасположение» необходимо определить название и месторасположение файла конфигурации виртуального сервера (рис. 4.).
В окне «Выделить память» (рис. 5) необходимо выбрать размер оперативной памяти. Для Microsoft Forefront Threat Management Gateway по минимальным требованиям необходимо 2Гб оперативной памяти.
В окне «Настройка сети» выбираем подключение к внутренней сети (Virtual Internal).
В окне «Подключить виртуальный жесткий диск» необходимо выбрать пункт «Создать виртуальный жесткий диск». Указать размер (для Microsoft Windows 2008 R2 не менее 11 Гб) (рис. 7).
В окне «Параметры установки» выбираем пункт «Установить операционную систему позднее» и нажимаем «Далее» (рис. 8).
После окна «Сводка» нажимаем «Готово».
Прежде чем преступить к установке Windows 2008 R2 Server необходимо зайти в настройки виртуальной машины FOREFRONT. Правой кнопкой кликаем на виртуальной машине – Параметры…
И в окне «Настройки для FOREFRONT»
В окне выбираем «Установка оборудования» – «Сетевой адаптер» и нажимаем «Добавить». Добавляем два оставшихся адаптера Virtual Internet и Virtual DMZ. После добавления конфигурация компьютера будет выглядеть так:
после этого приступаем к установке Microsoft Windows 2008 R2 Server.
Этап 4. Установка Microsoft Windows 2008 R2 Server.
Приступаем к установке Windows 2008 R2 Server. Для этого необходим образ диска. Его можно скачать с сайта Microsoft. На сайте www.microsoft.ru можно найти жесткий диск для виртуальных машин и заменить его созданным ранее нами.
В «Контроллере 1 IDE» устанавливаем «Файл изображения» и указываем расположение файла образа.
Запускаем виртуальную машину.
После этого можно отправлять установку Microsoft Windows 2006 R2 и Microsoft ForeFront Threat Management Gateway по умолчанию. Определяем сетевые адаптеры и назначаем IP адреса согласно конфигурации сети. ВНИМАНИЕ! На компьютере может быть определен только единственный Default Gateway. Обычно его назначают default gateway провайдера.
Этап 5. Настройка Microsoft Forefront Threat Management Gateway.
После первоначального запуска появится окно «Started Wizard». Также его можно запустить через «Launch Getting Started Wizard»
В настройках «Network Template selection» выбираем «3-Leg perimeter»(трехногий периметр), который позволит ограничить и создать ДМЗ. Нажимаем «Далее».
В окне «Local Area Network (LAN) Setting» выбираем сетевой адаптер, который подключен к внутренней локальной сети.
В окне «Internet Setting» выбираем сетевой адаптер, подключенный к провайдеру.
В окне «Perimeter Network Setting» определяем сетевой адаптер, подключенный к серверам в ДМЗ. Далее необходимо выбрать тип доверия к данной сети. Он может быть либо Public(публичный), когда на серверах находящихся в ДМЗ будет настроена маршрутизация без использования NAT, либо Private (приватный), когда будет настроена маршрутизация с использованием NAT. Данный режим определятся уровнем доверия к сети ДМЗ. Режим Private позволит в полной мере защитит вашу сеть от видимости со стороны ДМЗ, но могут возникнуть проблемы с настройкой правил доступа.
В этой статье было показано каким образом можно настроить 3-leg периметр. К сожалению, в рамках данной статьи невозможно показать полную настройку Microsoft Forefront Threat Management Gateway для организаций, так как для каждой организации будут существовать свои правила доступа и отношения между сетями и пользователями, которые описаны в политике безопасности.
Васильев Денис
Большинство сказанного ниже в равной степени относится как к TMG (Threat Management Gateway 2010), так и к ISA 2006.
Многое в этих микрософтовских произведениях можно понять, многое увидеть и разобраться, глядя на графический интерфейс, но некоторые вещи необходимо просто знать, иначе ничего не заработает.
Ресурсов для ТМГ, как и для любого продукта микрософт, требуется несуразно много. ЦПУ — не меньше 4 ядер, больше-лучше, (гипертрейдинг) HT — приветствуется, ОЗУ — не меньше 4 Гб, в нагруженных конфигурациях (до 12 000 клиентов) требуется до 12 Гб. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). В частности, на TMG 2010, к которому подключен 1 клиент, не обращающийся в данный момент к интернету, монитор производительности показал загрузку 2 ЦПУ = 1…5 %, ОЗУ = 2.37 Гб.
Сервер TMG поддерживает 3 способа работы через него:
— Клиент TMG — специальная программа устанавливается на ПК (годится клиент от ISA 2006);
— Клиент Web-proxy — настройка клиентского приложения для работы через прокси;
— Клиент SecureNat — в свойствах TCP/IP в качестве шлюза по умолчанию указан сервер TMG.
Управление доступом на основании учетных записей (AD или на самом TMG 2010) возможно либо с использованием Клиента TMG либо клиентом Web-proxy. Последнее означает, что никакого специального клиента на ПК не ставится, а клиентское приложение умеет работать через прокси-сервер и на нем настроены в качестве proxy-сервера адрес и порт сервера TMG. Клиент SecureNat авторизацию НЕ поддерживает.
Правила доступа на сервер TMG проверяются последовательно сверху вниз. Как только запрос клиента подошел под одно из правил (по трем полям: Protocol, From, To), так просмотр правил прекращается, т.е. остальные — игнорируются. И если запрос не удовлетворяет полю Condition этого правила, то доступ клиенту не предоставляется, несмотря на то, что следом может идти правило, разрешающее такой доступ.
Пример . Пользователь с установленным клиентом ТМГ и шлюзом по умолчанию, настроенным на сервер ТМГ запускает программу Outlook 2010. Учетная запись этого пользователя входит в группу безопасности AD-Internet.
Правило 3 разрешает весь исходящий трафик для пользователей, входящих в группу AD-Internet. Но программа Outlook не сможет связаться с внешним почтовым сервером, потому что с настройками по умолчанию Клиент ТМГ НЕ перехватывает запросы Outlook, а клиент SecureNat не умеет авторизоваться, и не сможет доказать серверу TMG, что его пользователь входит в группу AD-Internet. Однако, почтовый протокол попадает под определение “All Outbound Traffic”, а направление «From: Internal, To:External» соответствует запросу клиента, и поэтому обработка правил прекращается именно на правиле №3.
Если правила 3 и 4 переставить местами, то Outlook работать будет, потому что правило 4 не требует авторизации. Другой способ — в правиле 3 (не перемещая его) ограничить список протоколов, например оставить только HTTP и FTP. Тогда запрос от программы Outlook не “зацепится” за правило 3 и проверка дойдет до правила 4, по которому клиент получит доступ.
Есть еще способ пробиться через правила рис.1. Вернемся к упомянутым выше настройкам по умолчанию . Клиент ТМГ не перехватывает запросы Outlook потому, что в настройках приложений (Application Settings) клиент ТМГ отключен.
В левом дереве консоли управления Forefront TMG узел Networking, в средней части закладка Networks, сеть Internal, на правой панели закладка Tasks, пункт Configure Forefront TMG Client Settings. (На ISA 2006: Configuration — General — Define Firewall Client Settings.)
Если изменить здесь значение с 1 на 0, то Outlook будет работать через ТМГ по правилу доступа №3, приведенному на рис. 1.
А теперь вопрос на засыпку: почему в конфигурации Рис.1 не ходят пинги?
Ответ . Ping соответствует по параметрам (Protocol, From, To) правилу №3, и по этому просмотр правил доступа прекращается именно на правиле №3. Но Ping не умеет авторизоваться, поэтому для него доступ запрещен. Можно, например, над правилом №3 сделать отдельное правило:
Протокол = PING
From = Internal или All Networks
To = External
Users = All Users
Как подключить аудитора (чужака) к Интернету
Предполагается, что у аудитора свой ноут и его в свой домен вводить не будем.
Способ 1 . Задать на его ПК IP-адрес из разрешенного диапазона (требуются права администратора на его ПК).
Способ 2 . В браузере указать Прокси: IP-адрес и порт своего ТМГ. Предварительно на ТМГ сделать локальную учетку и дать её аудитору. Оптичить Basic в вариантах авторизации.
Параметры адаптеров
(в трехзвенной архитектуре):
|
должен быть |
|||
|
внутренний сервер |
|||
|
Register this connection’s address in DNS |
|||
|
NetBIOS over TCP/IP |
|||
|
Client for Microsoft Network |
|||
|
File and Print Sharing for Microsoft Networks |
|||
|
Show icon in notification area when connected |
Int — внутренний (смотрит в локальную сеть), Per — сеть периметра (она же DMZ), Ext (внешний, подключен к интернету непосредственно или через другое оборудование).
Обратите внимание : Отключение ‘File and Print Sharing for Microsoft Networks’ на внутреннем интерфейсе ISA сервера не позволит подключаться к общим папкам (шарам) этого ISA сервера, независимо от системной политики или каких-то других правил доступа. Это рекомендуется для лучшей безопасности, т.к. общим папкам совершенно не место на фаерволе.
Порядок соединений
(в окне Network Connections меню Advanced — Advanced Settings — вкладка Adapters and Bindings):
— Int,
— Per,
— Ext.
Если вы еще не слышали, то ISA Firewall постепенно выходит из производства. Последней версией ISA Firewall будет версия ISA 2006. Однако это не означает, что ПО ISA, которое мы полюбили за несколько лет его использования, совсем перестанет существовать. Хотя бренд ISA попадет в мусорную корзину истории, мы увидим следующую версию ISA Firewall с новым названием: Forefront Threat Management Gateway (шлюз управления внешними угрозами).
Существует несколько причин, по которым название ISA выходит из употребления. Но, вероятно, основная причина заключается в том, что общественности, кажется, не удавалось выяснить из названия, что собой представляет ISA Firewall. Некоторые считали, что это был просто веб прокси-сервер (в духе Proxy 2.0), другие думали, что это очередной брандмауэр, третьи считали его VPN сервером, четвертые считали, что это какой-то Франкенштейн или вообще не понимали ничего. Новое название должно обратить на Forefront TMG больше внимания, и, как надеются в компании, позволит людям понять основную задачу этого продукта.
В этой статье я расскажу вам о процессе установки. Однако прежде чем устанавливать TMG, вам нужно знать следующее:
- TMG будет работать только на 64-разрядной Windows Server 2008. После выпуска RTM версии, появится 32-разрядная демо-версия TMG, но не будет никаких бета версий для 32-разрядной Windows
- TMG требует как минимум 1 GB памяти (возможно, она будет работать и с меньшим объемом памяти, но очень медленно)
- 150 MB свободного места на диске
- По крайней мере одну сетевую карту (хотя я всегда рекомендовал два или более сетевых адаптера для обеспечения большей надежности)
- Вам нужно установить стандартную папку на диск C:
- TMG установит IIS 7 на вашу машину, чтобы поддерживать службы отчетов SQL. Если вы удалите TMG с машины, II7 не будет удален автоматически, поэтому вам придется делать это вручную
- Службы и файлы драйверов для TMG устанавливаются в установочную папку TMG
- Для версии beta 1 TMG, машина TMG должна входить в состав домена. В последующих бета версиях будут поддерживаться машины, не принадлежащие к доменам.
В этой серии статей (мы должны уложиться в две части) я устанавливаю TMG на машину Windows Server 2008 Enterprise, которая работает в качестве виртуальной машины (VM) на VMware Virtual Server 1.0. VM имеет два интерфейса: один интерфейс подключен через мост ко внешней сети и будет работать в качестве внешнего интерфейса, а второй интерфейс расположен на VMNet2, которая будет интерфейсом внутренней сети по умолчанию. Обратите внимание, что модель построения сети для TMG не изменилась по сравнению с конфигурацией, используемой ISA Firewall.
TMG является одним из элементов ПО, включенных в коллекцию продуктов Forefront Stirling. Вы можете скачать их все или только TMG. TMG будет отлично работать без Stirling, но Stirling – это определенно то, о чем вы захотите узнать в будущем.
Дважды нажмите на файле, который вы скачали. У вас откроется приветственная страница Добро пожаловать в мастера установки Forefront Threat Management Gateway . Нажмите Далее .
Рисунок 1
Установите файлы в место по умолчанию, коим будет . Нажмите Далее .
Рисунок 2
Файлы будут извлечены в эту папку.
Рисунок 3
Нажмите Завершить , когда процесс извлечения закончится.
Рисунок 4
Перейдите в папку C:\Program Files (x86)\Microsoft ISA Server и дважды нажмите на файле ISAAutorun.exe .
Рисунок 5
У вас откроется диалоговое окно Microsoft Forefront TMG 270-Day Evaluation Setup . Нажмите по ссылке Установить Forefront TMG .
Рисунок 6
Это вызовет приветственное окно мастера установки Welcome to the Installation Wizard for Microsoft Forefront Threat Management Gateway . Нажмите Далее .
Рисунок 7
На странице Лицензионное соглашение выберите опцию Я принимаю условия лицензионного соглашения и нажмите Далее . Обратите внимание на то, что лицензионное соглашение все еще содержит старое кодовое название продукта Nitrogen .
Рисунок 8
На странице Информация потребителя введите ваше Имя пользователя и Организации . Серийный номер продукта будет уже введен за вас. Нажмите Далее .
Рисунок 9
Здесь мы встречаем новую опцию установки, которая не была доступна в предыдущих версиях продукта. На странице Сценарии установки у вас есть возможность установить Forefront TMG или только консоль управления TMG. В этом примере мы будем устанавливать продукт полностью, поэтому выберем Установить Forefront Threat Management Gateway и нажмем Далее .
Рисунок 10
На странице Выбор компонентов у вас есть возможность установить программное обеспечение брандмауэра TMG, консоль управления TMG, и CSS. Да, вы догадались. Больше нет версий Standard и Enterprise брандмауэра ISA. TMG будет продаваться, как единое издание, и это единое издание использует CSS, даже если у вас есть массив ТMG только с одним членом. Однако вы сможете создавать массивы, используя TMG, но это функция недоступна в бета версии TMG и будет доступна только в последующих бета версиях.
В данном примере мы установим все компоненты в папку по умолчанию. Нажмите Далее .
Рисунок 11
Похоже, что у меня возникла проблема. Хотя машина и входит в домен, я забыл войти под именем пользователя, который принадлежит домену. Чтобы установить TMG, вы должны войти под именем пользователя, который обладает правами локального администратора на машине TMG.
Рисунок 12
Кажется, мне придется перезапускать установку. Мы продолжим с того места, на котором остановились, после того как выйду из системы, снова зайду под нужной учетной записью и перезапущу процесс установки.
Рисунок 13
Теперь, когда я вошел под именем пользователя домена с правами локального администратора, мы продолжим процесс установки со страницы Внутренняя сеть . Если вы устанавливали ISA Firewall, вы узнаете эту страницу, поскольку она похожа на ту, что использовалась в предыдущих версиях ISA Firewall. Здесь вы указываете внутреннюю сеть по умолчанию. В большинстве случаев вам нужно выбрать опцию Добавить адаптер , поскольку это определит вашу стандартную внутреннюю сеть на основе таблицы маршрутизации, настроенной на ISA Firewall. Однако я не знаю, если поменять конфигурацию таблицы маршрутизации на ISA Firewall, изменится ли автоматически определение стандартной внутренней сети. Ставлю двадцать пять долларов, что нет, но лучше мы проверим это в будущем.
Рисунок 14
Страница Внутренняя сеть показывает определение внутренней сети по умолчанию. Нажмите Далее .
Рисунок 15
Страница Предупреждение службы информирует вас о том, что Служба SNMP , Служба администрирования IIS , Служба публикации World Wide Web Publishing Service и Служба Microsoft Operations Manager будут перезапущены во время процесса установки. Скорее всего, вы еще не установили роль веб сервера на эту машину, поэтому вам нет нужды беспокоиться о службах IIS Admin Service и World Wide Web Publishing Service, но вы должны быть в курсе перезапуска служб SNMP и Microsoft Operation Manager Service. Помните, TMG установит и настроит IIS 7 за вас.
Рисунок 16
Нажмите Установить на странице Мастер готов установить программу .
Рисунок 17
Строка прогресса будет отображать статус установки. Здесь видно, как устанавливается CSS.
Рисунок 18
Получилось! Страница Работа мастера установки завершена показывает, что процесс установки успешно завершен. Ставьте флажок напротив строки Запустить Forefront TMG Management после завершения установки . Нажмите Завершить .
Рисунок 19
На данном этапе вы увидите веб страницу Защитить сервер Forefront TMG . Здесь вам предоставлена информация о включении Microsoft Update, запуске ISA BPA, и чтении раздела Защита и безопасность файла помощи. Пока что я могу сказать о файле помощи одно, производители проделали отличную работу по обновлению его содержания. Он содержит гораздо больше информации, причем информации, гораздо больше приближенной к реальным условиям установки, включенной в новый усовершенствованный файл помощи. Я рекомендую вам потратить некоторое время на его прочтение. Я гарантирую вам, что если вы являетесь бывалым администратором ISA Firewall, файл помощи TMG даст вам много нового.
Рисунок 20
После завершения первичной установки, у вас откроется новый мастер Getting Started Wizard . Мастер Getting Started Wizard является новым компонентом, который представлен только для TMG и отсутствовал в предыдущих версиях ISA Firewall. Он включает в себя три базовых мастера, и необязательного четвертого, которого мы рассмотрим после того, как разберемся с первыми тремя.
Первый мастер – это Мастер настройки параметров сети . Перейдите по ссылке Настроить параметры сети на странице Getting Started Wizard .
Рисунок 21
На странице Добро пожаловать в мастера настройки сети нажмите Далее .
Рисунок 22
На странице Выбор сетевых шаблонов выберите сетевой шаблон, который вы хотите применить к TMG. Это те же самые сетевые шаблоны, которые использовались на предыдущих версиях ISA Firewall. Нажмите на каждой опции и прочтите информацию, показанную в нижней части страницы.
В этом примере, мы будем использовать предпочитаемый шаблон, коим является шаблон Edge firewall . Нажмите Далее .
Рисунок 23
На странице Параметры локальной сети (LAN) вам дается возможность настроить информацию IP адресации для интерфейса локальной сети. Сначала вы выбираете NIC (сетевая карта), которую вы хотите сделать интерфейсом LAN на ISA Firewall путем нажатия в навигационном меню на строку Сетевой адаптер, подключенный к LAN . Информация IP адресации для этого NIC появится автоматически. Здесь вы можете изменять информацию IP адресации. Вы также можете создать дополнительные статические маршруты, нажав на кнопку Добавить .
Я правда не знаю, какие изменения на этой станице буду подходящими для определения внутренней сети по умолчанию. Допустим, я решил настроить стандартную внутреннюю сеть на 10.0.0.0-10.0.0.255, а затем решил изменить IP адрес на внутреннем интерфейсе на этой странице с тем, чтобы он оказался на другом сетевом ID. Изменится ли определение внутренней сети по умолчанию? Что, если я добавлю статичный маршрут на внутреннем интерфейсе TMG? Будет ли это изменение отражено в определении внутренней сети по умолчанию? Я не знаю, но собираюсь провести некоторые исследования в будущем.
Я не буду вносить никаких изменений на этой странице, поскольку я уже настроил внутренний интерфейс и необходимую информацию IP адресации. Нажмите Далее .
Рисунок 24
На странице Параметры Интернета вы можете настраивать информацию IP адресации для внешнего интерфейса TMG firewall. Как и на предыдущей странице, вы выбираете NIC, которую вы хотите сделать внешним интерфейсом, выбрав в навигационном меню строку Сетевой адаптер, подключенный к Интернету . Здесь вы также можете изменить информацию IP адресации. Поскольку я уже настроил внешний интерфейс и информацию IP адресов, то не буду вносить здесь никаких изменений. Жмем Далее .
Рисунок 25
На странице Завершение работы мастера настройки сети показаны результаты внесенных изменений. Нажмите Завершить .
Рисунок 26
Вы окажетесь обратно на странице Getting Started Wizard . Следующий мастер – это Мастер настройки параметров системы . Перейдите по ссылке Настроить параметры системы .
Рисунок 27
Рисунок 28
На странице Идентификация хоста вам будет задан вопрос об имени хоста и доменной принадлежности брандмауэра TMG. В этом примере, мастер автоматически определил имя хоста машины, коим является TMG2009 . Мастер также определил принадлежность машины домену. Полагаю, что этот мастер позволит вам присоединиться к домену, если вы еще не сделали этого, или покинуть домен, если вы пожелаете. Также, если машина принадлежит рабочей группе, у вас будет возможность ввести первичный DNS суффикс, который ISA Firewall сможет использовать для регистрации вашего домена DNS, если у вас активирован DDNS и вам не требуются надежные обновления DDNS.
Поскольку я уже настроил эту машину в качестве члена домена, мне не нужно вносить никаких изменений на этой странице. Нажимаем Далее .
Рисунок 29
На этом работа с Мастером конфигурации системы закончена. Жмем Завершить на странице завершения работы мастера Completing the System Configuration Wizard .
Рисунок 30
У нас остался еще один мастер на странице Getting Started Wizard . Перейдите по ссылке Определить опции установки .
Рисунок 31
Рисунок 32
На странице Настройка Microsoft Update у вас есть опции Использовать службу Microsoft Update для поиска обновлений и Я не хочу использовать службу Microsoft Update Service . Обратите внимание на то, что TMG использует службу Microsoft Update не только для обновления OС и ПО брандмауэра TMG, но и для проверки наличия вредоносного ПО, причем делает он это несколько раз в день (по умолчанию, каждые 15 минут). Поскольку одним из основных преимуществ использования брандмауэра Microsoft перед другими брандмауэрами является его отличная функция автоматического обновления, то мы продолжим, и будем использовать сайт Microsoft Update. Нажимаем Далее .
Рисунок 33
На странице Определение параметров обновления вы указываете, хотите ли вы, чтобы брандмауэр TMG искал и устанавливал , просто искал или не делал ничего для обновления осмотра на вредоносное ПО. Вы также можете устанавливать частоту осмотра, которая по умолчанию имеет значение, равное каждым 15 минутам. Но вы можете установить значение загрузки обновлений раз в день, а затем настроить время дня, когда эти обновления будут устанавливаться. Нажмите Далее .
Рисунок 34
На странице Обратная связь с потребителем можно указать, хотите ли вы предоставить анонимную информацию компании Microsoft о конфигурации вашего оборудования и того, как используется продукт. Никакая информация, переданная Microsoft, не может быть использована для определения вашей личности, а также никакая личная информация не передается компании Microsoft. Полагаю, что мне нужно указать свое имя, дату рождения, номер социального страхования, лицензионный номер драйвера и адрес своего банка, а компании Microsoft я доверяю гораздо больше, чем своему банку, если учесть требования к банкам передавать информацию федеральному правительству. Поэтому передача этой технической информации компании Microsoft не представляет никакой опасности, и помогает ей создавать свою продукцию более стабильной и надежной. Выберите опцию Да, я хочу анонимно участвовать в программе Customer Experience Improvement (рекомендуется) .
Рисунок 35
На странице Служба телеметрии Microsoft вы можете настроить свой уровень принадлежности к службе телеметрии Microsoft. Служба Microsoft Telemetry помогает защититься от вредоносного ПО и несанкционированного доступа, путем предоставления компании информации о потенциальных атаках, которую компания Microsoft использует, чтобы помочь определить тип атаки и улучшить точность и эффективность снижения угроз. В некоторых случаях личная информация может по неосторожности быть отправлена Microsoft, однако компания не будет использовать эту информацию, чтобы определить вашу личность или связаться с вами. Сложно определить, какая именно личная информация может быть отправлена, но поскольку я привык доверять компании Microsoft, я выберу опцию Присоединиться с повышенным уровнем принадлежности . Нажимаем Далее .
Рисунок 36
На странице Завершение работы мастера установки показаны выбранные вами параметры. Нажимаем Завершить .
Рисунок 37
Вот и все! Мы закончили работу с мастером Getting Started Wizard . Но это не означает, что все закончено. Если вы отметите опцию Запустить мастера веб доступа , то откроется окно этого мастера. Давайте отметим эту опцию и посмотрим, что произойдет.
Рисунок 38
У нас откроется приветственное окно мастера Welcome to the Web Access Policy Wizard . Поскольку это новый способ создания политики брандмауэра TMG, думаю, мы подождем до следующей части, чтобы подробно рассмотреть этого мастера. Кажется, TMG позволит вам настраивать политику веб доступа немного иначе, чем в предыдущих версиях ISA Firewall, поэтому мы посвятим этому следующую часть.
Рисунок 39
Теперь, когда установка завершена, у нас появилась новая консоль. Если вы посмотрите на левую панель консоли, то увидите, что в ней абсолютно отсутствуют вкладки, что немного облегчает процесс навигации. Также мы видим новую вкладку Центр обновлений . Отсюда вы можете получить информацию об обновлениях службы защиты против вредоносного ПО TMG, и узнать, когда устанавливались эти обновления.
Рисунок 40
По завершении процесса установки я обнаружил, что были некоторые ошибки. Но это, наверное, связано с тем, что TMG вообще не работал после установки. Я смог решить эту проблему путем перезагрузки компьютера. Я не уверен, было ли это связано с тем, что брандмауэр TMG устанавливался на виртуальный сервер VMware, или с тем, что это бета версия.
Рисунок 41
Обращая внимание на Первичные задачи настройки , вы можете заметить, что несколько ролей и служб было установлено на этот компьютер, как часть установки TMG. Сюда входят:
Резюме
В этой статье мы рассмотрели процесс установки брандмауэра TMG. Здесь были некоторые изменения по сравнению с предыдущими версиями ISA Firewall, но ничего сверхъестественного. Это нормально, установка – это не тот процесс, от которого ждешь чего-то удивительного. Мы видели несколько замечательных улучшений в процессе установки, которые придают дополнительную гибкость во время настройки.
Если вы потратите еще немного времени на рассмотрение ПО брандмауэра TMG после установки, и не найдете ни одной черты, которую ожидали найти, не стоит беспокоиться. Это очень ранняя бета версия, и я полагаю, что она далека от завершения. Я знаю, что были запросы на дюжины других характеристик, когда была выпущена версия ISA 2000. Хотя иногда первые впечатления являются длительными, я не хочу быть причиной вашего первого впечатления от TMG. Помните, что это всего лишь первая бета версия, поэтому следует ожидать множества новых параметров и характеристик в будущем, которые могут сделать вас счастливыми. Спасибо!
Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).
Установку Windows Server в виртуальную машину мы рассматривали в статье:
Так-же нам потребуеться виртуальная машина с настроенным DNS сервером (мы используем Windows Server 2008 R2 с установленным DNS сервером)
и одним внутренним интерфейсом (тип Внутренняя сеть).
После загрузки файла дважды нажмите на нем, откроеться мастер установки:
Ждем пока распакуеться:
После распаковки файлов вы увидите приветственную страницу:
Нажимаем "запустить средство подготовки", откроеться окно:
Принимаем лицензионное соглашение:
Вводим имя пользователя и организацию:
Откроется окно выбора сетевой платы (выбираем плату внутренней сети):
По окончании мастера установки, в открывшемся окне ставим галку "запустить програму управления":
Появиться веб-страничка об успешной установке и окно мастера начальной настройки:
В мастере нажимаем "настройка параметров сети", откроеться мастер настройки сети:
Указываем сетевую плату внутренней сети:
Указываем сетевую плату внешней сети(на скриншоте установлен DNS 192.168.137.1 - это не правильно, DNS-сервер должен быть один на вутренней сети, а сдесь графа DNS-сервера должна быть пустой):
Проверяем правильность:
В открывшемся мастере начальной настройки нажимаем "настройка системных параметров":
В открывшемся мастере пока оставляем все как есть:
Сдесь мы устанавливаем настройки обновления:
Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт:
На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее:
На этом действии работа мастера первоначальной настройки завершена:
Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов:
На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений:
После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG.
Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки:
На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет:
Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик:
Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена:
Все проверяем:
На этом первоначальная настройка завершена.
