Сегодня мы рассмотрим: Настоящие ценители музыки знают, что для качественного...
И Win7 корпорация Microsoft анонсировала ряд решений, направленных
на усиление безопасности сетей и серверов. Вместо ставших уже привычными имен и
технологий, на IT-сцене появились совершенно новые названия. В статье
познакомимся с назначением продуктов семейства Forefront "Stirling" и подробно
разберем пакет Forefront TMG
, который стал преемником ISA Server 2006.
Интегрированная система безопасности Forefront "Stirling"
Практически 9 лет компьютерные сети многих организаций бессменно защищал ISA
Server (Microsoft Internet Security and Acceleration Server). Основа, заложенная
еще в первом релизе, мало изменилась и в третьей версии ISA Server 2006:
фильтрация трафика на нескольких уровнях, поддержка VPN, работа с Active
Directory, анализ посещения внешних ресурсов, IDS/IPS и так далее. Нет, конечно,
продукт развивался: был существенно переработан интерфейс, появились новые
функции, но со временем менялась идеология защиты сетей, и соответственно
администраторы стали требовать большего, чем мог дать ISA Server, который к тому
же не совместим с новыми серверными ОС Win2k8/R2.
Результат не заставил себя долго ждать. В 2008 году на конференции RSA
Security был представлен преемник ISA Server, получивший новое имя Forefront
Threat Management Gateway
(Forefront TM
G, Шлюз управления угрозами).
Одной из основных особенностей Forefront TMG
стала совместная работа с
другими продуктами новой платформы Forefront Protection Suite
(кодовое
имя "Stirling",
www.microsoft.com/forefront/stirling), предназначенной для всесторонней
защиты и централизованного управления параметрами безопасности корпоративных
сетей, серверов и рабочих станций. В настоящее время в ее состав входит:
- Forefront Client Security
(FCS, ранее Microsoft Client Protection)
— обеспечивает защиту серверов, рабочих станций от разного рода угроз,
вирусов, программ-шпионов, руткитов и прочего вредоносного кода с возможностью
простого централизованного управления и получения отчетов. FCS интегрируется с
существующей инфраструктурой программ и дополняет другие технологии
безопасности Microsoft; - Forefront Security for Exchange Server
(ранее Microsoft Antigen для
Exchange, в дальнейшем Forefront Protection 2010 for Exchange Server) —
защищает среду обмена сообщениями Exchange Server от вирусов, червей, спама и
недопустимого содержимого, для этих целей в его состав включено несколько
антивирусных ядер; - Forefront Online Security for Exchange
(FOSE) — является "облачным"
вариантом предыдущего пункта, то есть FOSE предоставляется как услуга,
позволяющая обеспечить защиту электронной почты компании и снизить затраты на
содержание серверов. Интегрируется с Active Directory и Exchange Server, хотя
в качестве почтового сервера можно использовать любой другой сервер; - Forefront Security for Office Communications Server
— обеспечивает
защиту системы мгновенных сообщений, предоставляемую этим сервером, проверяя
трафик несколькими антивирусами и блокируя мессаджи с подозрительным
содержимым; - Forefront Security for SharePoin
t (ранее Antigen для SharePoint, в
дальнейшем Forefront Protection for SharePoint) — антивирусная защита хранилищ
документов (в реальном времени и по расписанию), реализуемых при помощи
сервиса SharePoint, применение политик компании к содержимому, типам и
расширениям файлов; - Forefront Unified Access Gateway
(UAG, ранее Intelligent
Application Gateway — IAG 2007) — шлюз удаленного (входящего) доступа (а не
защиты) к приложениям, позволяющий контролировать и управлять доступом к
сетевым службам "из вне", через единую точку входа; - Forefront Identity Manager
(FIM, ранее Identity Lifecycle Manager)
— усовершенствованная платформа управления идентификационной информацией на
базе веб-сервисов, в которой используются гибкие средства делегирования
полномочий на основе политик, что в итоге позволяет повысить безопасность и
управляемость корпоративных сред; - Forefront Threat Management Gateway
(главный герой нашей статьи) —
защита от интернет угроз, фильтрация трафика, IDS/IPS, контентная фильтрация.
Ранее Microsoft предлагала несколько разобщенных продуктов, каждый их которых
защищал свой участок, имел свою консоль управления и систему отчетов. Такие
системы защиты плохо масштабируются, ими неудобно управлять. Сегодня вместо
этого специалистам предоставляется комплексное решение, которое работает с общей
базой настроек, информацией об угрозах, управляется из единой консоли, и которое
можно легко подстроить под конкретные нужды.
Возможности Forefront TMG
Основным компонентом Forefront TMG
(на момент написания статьи была
доступна версия 2010 Release Candidate) является межсетевой экран, который
контролирует входящий и исходящий трафик в соответствии с установленными
политиками. Этот компонент "достался" по наследству от ISA Server. Среди новинок
можно отметить улучшенную поддержку NAT (например, теперь нет проблем в случае,
если внешний интерфейс имеет несколько IP-адресов), функцию управления
резервными интернет-каналами (ISP Redundancy, только для исходящего трафика),
появление в настройках firewall вкладки VoIP, где производится настройка защиты
и поддержки VoIP сервиса (VoIP traversal).
Функцию IDS/IPS выполняет компонент Network Inspection System
(NIS,
Служба проверки сети), главным отличием которого от подобных решений является
контроль над попытками использования известных уязвимостей, обнаруженных в
защищаемых системах, а не поиск сигнатур эксплоитов. Такой подход позволяет
закрыть брешь в период обнаружения уязвимости до выхода устраняющего ее патча.
Основой NIS служит GAPA (Generic Application-Level Protocol Analyzer),
обеспечивающий быстрый низкоуровневый поиск данных. Кроме сигнатурного анализа,
в NIS заложен поведенческий анализатор (Security Assessment and response, SAS),
способный определять вторжения на основе поведения (Behavioral Intrusion
Detection).
Никуда не исчезла возможность предоставления безопасного доступа
к ресурсам интернет и контроля за трафиком (Web Client Protection). Здесь
отмечаем появление в списках протокола SSTP (Secure Socket Tunneling Protocol,
подробнее о нем читай в статье " " ), поддержка которого была впервые реализована в Vista
SP1 и Win2k8.
TMG проверяет HTTP и HTTPS (чего не было ранее, при этом TMG
выступает как посредник) трафик на наличие вредоносного ПО, используя те же
механизмы защиты, что и Forefront Client Security и Windows Defender.
Администратор может указать узлы, для которых не следует производить проверку,
максимальный размер скачиваемого файла, при превышении которого загрузка будет
блокирована, разрешенные типы файлов. Еще одна новинка в этом разделе —
возможность URL фильтрации, которая дает возможность контролировать доступ к
определенным веб-ресурсам, основываясь на 80-ти категориях. Список возможных
категорий и их состав динамически обновляется по подписке.
В TMG интегрирован SMTP прокси, обеспечивающий функции защиты от
вирусов, спама и прочих угроз, распространяемых по e-mail. Причем почтовый
трафик могут сканировать до 5 программ, большая часть функций по фильтрации
реализована за счет интеграции с Exchange Server 2007 Edge. В политиках (E-Mail
policy) администратор может задавать расширения, шаблоны имени, MIME типы
файлов, которые будут блокироваться при пересылке. Также TMG может просматривать
сообщения на наличие определенных фраз во входящих и исходящих сообщениях, затем
на основе политик такие письма могут быть удалены с отправкой уведомления
админу.
TMG поддерживает Win2k8R2, может интегрироваться с Exchange 2007
SP1 или грядущим Exchange 2010. Первые версии TMG нельзя было развернуть в
рабочей группе (только в доменной среде), что снижало область применения
продукта. Теперь такая возможность имеется, хотя в этом случае придется
потратить некоторое время на эффективную настройку локальной SAM базы (Security
Accounts Manager). В режиме рабочей группы возможна аутентификация средствами
RADIUS или SecurID сервера.
Перечислю несколько важных моментов касательно IPv6, которые
следует учесть при развертывании TMG:
будет блокирован весь IPv6 трафик;
протокол ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol) и 6to4 интерфейс, инкапсулирующие пакеты IPv6 в IPv4, будут
отключены;
при рестарте будет обновляться только "A" DNS запись для
сервера, но не "AAAA";
будут очищены кэши DNS, ARP и Neighborhood Discovery (IPv6
версия ARP).
Да, протокол IPv6 TMG не поддерживает в полной мере, но работать
с ним умеет. Также возможно развертывание DirectAccess (который, кстати, завязан
на IPv6/IPsec) и TMG на одной системе. Хотя это потребует плясок с бубном, так
как при установленной роли DirectAccess некоторые мастера TMG отказываются
работать, так как не могут определить настройки сети.
Поставляется TMG в двух версиях: Enterprise и Standard Edition,
хотя первоначально такое разделение не планировалось. Основных преимуществ
Enterprise перед Standart два. Это снятие лимита на количество CPU (в Standart
до 4) и работа в массиве TMG, управляемом Enterprise Management Server (Сервер
управления предприятием) с поддержкой "Stirling". Настройки в этом случае
хранятся централизованно на сервере Configuration Storage Server. Чтобы
проапгрейдить Standart до Enterprise, необходимо установить новый лицензионный
ключ: Forefront TMG Management console — System node — выбираем сервер и в
контекстном меню Properties — Upgrade to Enterprise Edition вводим новый ключ.
Также следует отметить наличие несколько урезанной версии
Forefront TMG Medium Business Edition (MBE) для Essential Business Server (ESB).
Это решение предназначено для защиты сетей небольших и средних размеров (до 300
рабочих станций). В нем отсутствует Network Inspection System, не реализована
возможность проверки защищенного HTTPS трафика и защиты e-mail, не предусмотрено
использование балансировки нагрузки и создание отказоустойчивых кластеров, он не
интегрируется с продуктами семейства "Stirling". TMG MBE доступен как в составе
ESB, так и как самостоятельное решение. Возможна установка на 32-х битную
систему.
Установка Forefront TMG
Для установки Forefront TMG
понадобится сервер с x64 CPU
(32-х разрядные CPU не поддерживаются) и 2 Гб ОЗУ, работающий под управлением
x64-версии Win2k8/2k8R2, а также 2.5 Гб места на харде (раздел должен быть
отформатирован в NTFS). Среди требований есть еще Microsoft SQL Server 2005
Express Edition (MSEE), но он будет установлен автоматически, поэтому не нужно
отдельно его скачивать.
Возможно несколько вариантов использования шлюза TMG. Он может
стоять на границе зоны, это классический вариант, когда с одной стороны
подключен интернет, с другой — внутренняя сеть (требуется наличие двух сетевых
адаптеров). Развитием этого варианта является вывод DMZ на отдельный сетевой
интерфейс. В документации еще описан вариант Back Firewall, когда TMG выступает
как второй брандмауэр, размещенный за аппаратным решением (например, шлюз с
функциями фильтрации). И наконец, возможна работа на сервере с одним сетевым
интерфейсом. В этом случае TMG будет выступать просто как кэширующий
прокси-сервер с возможностями по аутентификации пользователей в Active
Directory, фильтрации URL и блокировки контента. Учитывая, что TMG
устанавливается на входе сети, вполне логично, что сервер не должен быть
контроллером домена. Если при развертывании на сервере будет найдена роль
"Active Directory Domain Services" (даже без последующего запуска dcpromo),
установка прекратится без объяснений. Теперь рассмотрим процесс установки
Forefront TMG на Win2k8R2.
Запускаем инсталляционный пакет, скаченный с сайта Microsoft, и
щелкаем по пункту "Setup Preparation Tool". Следуя подсказкам этого
инструментального средства, устанавливаем все роли и компоненты, необходимые для
работы Forefront TMG. На втором шаге "Installation Type" нужно определиться с
вариантом установки. По умолчанию предлагается "Install Forefront Threat
Management Gateway services", при котором будет установлен собственно TMG и
консоль управления. Другие варианты позволяют инсталлировать только консоль
управления Forefront TMG Management или консоль управления массивами TMG. По
окончании работы "Preparation Tool" в системе появятся роли: "Network Policy and
Access Services", "Web Server (IIS)", компонент.Net Framework 3.5 и MSEE. Если
не снимать на последнем шаге флажок "Launch Microsoft Forefront TMG Setup", по
окончании работы "Setup Preparation Tool" запустится мастер установки TMG.
Ничего сложного он собой не представляет — подтверждаем лицензию, вводим
название организации и серийный номер, затем параметры внутренней сети. В
последнем случае можно выбрать сетевой адаптер, ввести адрес сети или диапазон
IP-адресов. По завершении этого этапа сервер лучше перезагрузить.
Настройки TMG
После установки TMG в меню обнаружим консоль управления
"Forefront TMG Management" и монитор производительности "Forefront TMG
Perfomance Monitor". По умолчанию консоль подключается к локальному серверу, но
вряд ли админ будет работать из серверной. Чтобы подключиться к удаленному
серверу с установленным TMG, выбираем в контекстном меню пункт "Connect" и,
следуя указаниям "Configuration Storage Server Connection Wizard", отмечаем
локальную систему, отдельный сервер или подключение к массиву TMG.
Настроек в консоли более чем предостаточно. Спасает продуманный интерфейс,
который существенно переработан в сторону улучшения юзабилити. Все настройки
сгруппированы в 12 меню, в каждом производятся установки специфических политик:
Firewall, WebAccess, E-mail, IPS и так далее. Некоторые пункты позволяют
получить доступ к функциям мониторинга, отчетов и обновлений. И в какой пункт не
зайди, везде тебя встретит пошаговый мастер.
При первом запуске консоли активируется "Getting Started
Wizard", который по сути открывает доступ к трем другим визардам: Network,
System Configuration и Deployment. Некоторые настройки будут взяты из системных
установок, при необходимости их уточняем.
В самом начале работы мастера сетевых настроек будет предложено выбрать шаблон
сети (Network Template), соответствующий текущему применению TMG: Edge firewall,
3-Leg Perimeter, Back firewall, Single network adapter. При выборе каждого
пункта будет показана схема сети, поэтому в назначении шаблонов легко
разобраться. По умолчанию предлагается "Edge firewall", который соответствует
"стандартному" режиму использования, когда с одной стороны подключается
интернет, с другой — локальная сеть. Его и оставляем, указываем LAN и WAN
интерфейсы. Настройки системы заключаются в уточнении принадлежности к домену
или рабочей группе, а также вводу DNS суффикса. В большинстве случаев здесь
нужно оставить все, как есть. В Deployment Wizard указываются параметры "Windows
Update". Далее активируем лицензии NIS, Web- и Email Protection и на следующих
этапах работы мастера задаем порядок обновления соответствующих сигнатур.
Установленный в последнем окне флажок "Run Web Access Wizard" позволяет сразу
запустить мастер настройки веб-доступа, но с этим пока можно не спешить.
Выбираем в меню консоли свой сервер. В среднем окне появится
окно "Roles Configuration", в нем даны ссылки на 5 задач: доступ внутренних
пользователей к веб-сайтам (Web Access Policy), политики E-mail, настройка NIS,
публикация внутренних ресурсов для предоставления доступа "из вне", активация и
настройка доступа к VPN. Конечно, это не все задачи по обеспечению полноценной
защиты и работы сервисов, конкретный список для каждой сети админ уже составляет
сам. После работы "Started Wizard" будет активирована NIS, и установлены
блокирующие правила в Firewall и Web Access. Соответственно, выйти в интернет,
получать и отправлять почту не получится, также будет закрыт доступ к внутренним
ресурсам "из вне", поэтому последовательно перебираем каждый шаг и настраиваем
политику доступа.
Настройка политик веб-доступа и использования E-mail
Для примера рассмотрим настройки по обеспечению веб-доступа и
работы электронной почты. Переходим во вкладку "Web Access Policy" и выбираем в
поле "Task" ссылку "Configure Web Access Policy", запустится мастер настроек.
Определяемся, будем ли использовать блокировку веб-ресурсов по категориям. Если
отметить "Yes, create a rule blocking …", то на следующем шаге нужно указать
категории ресурсов, которые будут блокироваться. В списке уже есть с десяток
категорий, чтобы добавить новую категорию в список, нажимаем кнопку "Add" и
отмечаем в появившемся окне все необходимое. Следующий шаг мастера — "Malware
Inspection Setting", здесь выбираем, будем ли проверять HTTP трафик на наличие
вредоносного кода. Дополнительный флажок "Block encrypted archives" разрешает
блокировку зашифрованных архивов. Далее настраивается проверка HTTPS трафика.
Здесь возможны четыре варианта:
проверять;
не проверять и разрешать трафик;
не проверять трафик, проверять сертификат и при несоответствии
блокировать;
блокировать HTTPS.
Если выбран первый вариант, мастер потребует ввести сертификат,
который необходимо предварительно создать (подробности смотри в уже упомянутой
статье "Слоеный VPN"). Затем идет настройка кэширования. Отмечаем флажок "Enable
Web caching" и, нажав "Cache Drives", указываем диск и вводим максимальный
размер кэша (по умолчанию 0, т.е. неограничен). После нажатия кнопки "Finish"
будут созданы новые настройки, чтобы они вступили в силу, нажимаем кнопку
"Apply" вверху окна. Теперь пользователи внутренней сети могут просматривать
информацию на веб-ресурсах.
Используя ссылки во вкладке "Task", можно изменить установки без
повторного запуска мастера. Чтобы изменить отдельное правило, дважды щелкаем по
нему и, перемещаясь по вкладкам свойств, отключаем/включаем правило, изменяем
From/To, указываем протокол, расписание, тип контента. Состояние отдельных
элементов можно увидеть и изменить в поле "Web Access Setting".
Для настройки работы с E-mail выбираем в меню "E-Mail Policy".
Здесь действуем аналогично предыдущему пункту. Нажимаем "Configure E-Mail
Policy". Запустившийся мастер вначале попросит указать IP-адрес внутреннего
почтового сервера и ввести список разрешенных доменов. Отмечаем сети, на которых
будут слушаться почтовые запросы, указываем FQDN (Fully Qualified Domain Name),
используемый для связи с сервером при ответе на HELO/EHLO запросы. По умолчанию
TLS (Transport Layer Security) шифрование трафика отключено, для его активации
устанавливаем флажок "Enable TLS Encryption". На последнем шаге, установив
соответствующие флажки, активируем функции антиспама и антивирусной проверки
почтового трафика (если, конечно, их предполагается использовать). Нажимаем
"Finish" и применяем настройки щелчком по "Apply". Правила, созданные в
результате работы мастера, будут показаны в окне консоли. Настройка правил
антиспама и антивируса производится во вкладках "Spam Filtering" и "Virus and
Content Filtering" соответственно.
Заключение
Как видишь, нововведений в семействе Forefront достаточно много,
и главное из них — тесная интеграция продуктов, которая позволит на порядок
повысить эффективность использования различных решений и добавить удобство
работы админу. На примере Forefront TMG
хорошо видно, что одной лишь
сменой имени дело не обошлось. В нем появилось достаточно много функций, которые
уже не раз запрашивались администраторами.
TMG vs UAG
Forefront TMG и UAG входят в группу Forefront Edge Security and
Access, в которой представлены решения, обеспечивающие защиту периметра и доступ
к внутренней сети, но назначение у них совершенно разное. У TMG главное
назначение — это защита внутреннего периметра, UAG — обеспечение безопасного
доступа к сервисам "из вне". Хотя в TMG реализована возможность организации
доступа ко внутренним ресурсам посредством VPN и публикации внутренних сервисов
(Secure Web Publishing), но UAG в этом плане обеспечивает большие возможности и
гибкость.
INFO
Forefront "Stirling" — комплексное решение, предназначенное для
всесторонней защиты и централизованного управления параметрами безопасности
корпоративных сетей, серверов и рабочих станций.
Основой системы отчетов Forefront "Stirling" является MS SQL
Server 2008 Reporting Services, механизм отчетов способен удовлетворить запросы
большинства админов.
Перед началом установки Forefront TMG следует обновить систему
при помощи Windows Update: Control Panel — System and Security.
Антивирусные, антиспам обновления, сигнатуры NIS, URL Filtering
доступны по платной подписке.
Страница TechNet, посвященная Forefront —
technet.microsoft.com/en-us/library/cc901531.aspx
WARNING
Forefront TMG нельзя устанавливать на сервер, выполняющий
функции контроллера домена.
После установки Forefront TMG все сетевые соединения
блокируются.
Обожаю новые вещи, и я рада представить вам новый продукт: Microsoft Threat Management Gateway 2010 EE RTM. В этой статье мы сначала рассмотрим то, как устанавливать TMG 2010 EE RTM.
Конечно, действительной начальной стадией является планирование, в котором вы определяете то, какие будут требования к аппаратному оборудованию, и какую роль будет играть брандмауэр TMG в вашей сети. Однако если вы не знакомы с брандмауэром TMG, вам нужно будет просто установить его и посмотреть, что он собой представляет и как выглядит. Планирование можно отложить, если вы решите, что вам нравится то, что вы увидите, и об этом мы поговорим в последующих статьях. А в этой серии из двух частей мы поговорим о процессе установки и выделим потенциальные проблемы, с которыми вы можете столкнуться во время этого процесса.
Итак, начнем!
Как всегда, в качестве первого шага необходимо убедиться в том, что ваше аппаратное оборудование отвечает минимальным системным требованиям, которые можно найти .
Многие из вас будут выполнять эту установку в целях тестирования и оценки продукта. Поэтому мы установим RTM версию брандмауэра TMG на виртуальную машину, и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
- Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет, и
- Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам.
В этом примере единственная виртуальная машина будет контроллером домена, и брандмауэр TMG принадлежит к тому же домену, что и контроллер домена.
Это будет чистая установка. Единственное, что мы сделали перед установкой, это присоединили виртуальную машину TMG к домену, а затем установили обновления Windows. Я не устанавливала никаких компонентов Exchange или иного ПО. Нашей целью будет то, что сделают большинство администраторов – установка программного продукта в «штатной» конфигурации, после чего мы постараемся настроить его так, чтобы он выполнял все нужные нам функции, чтобы можно было лучше познакомиться с этим продуктом.
Примечание: перед тем, как приступить к процессу установки, вам нужно знать конфигурацию DNS на сетевых картах виртуальной машины TMG. Поскольку вы никогда (или почти никогда) не включаете никакие внешние DNS серверы в настройку сетевых карт брандмауэра, я настроила внешний интерфейс безо всяких параметров DNS, а внутренний интерфейс с IP адресом внутреннего DNS сервера, который также является контроллером домена. Это вызовет некоторые сложности, о которых я расскажу позже, когда мы с ними столкнемся.
Вот простая схема сети, с которой я в данный момент работаю в этой статье:
Схема 1
Первым шагом будет загрузка пробной версии программы. В настоящее время TMG недоступен на MSDN, но вы можете загрузить пробную версию отсюда .
После загрузки файла дважды нажмите на нем, и он распакуется. После распаковки файлов вы увидите приветственную страницу Welcome to Microsoft Forefront TMG . Она выглядит несколько иначе по сравнению с тем, что мы видели в брандмауэре ISA, и она включает несколько новых опций. Обратите внимание на раздел Подготовка и установка (Prepare and Install) - теперь вы можете выполнить обновление Windows на этой странице установки. Мы уже сделали это, поэтому нам это не требуется. Еще одной новой опцией является Запуск инструмента подготовки (Run Preparation Tool) , и им мы воспользуемся. Выбираем эту опцию.
Вполне очевидно, что разработчики TMG пользовались большими мониторами при создании этого интерфейса. Диалоговые окна большие. Думаю, что это удобно для разработчиков и пользователей, однако неудобно для писателей статей, у которых ограничено горизонтальное пространство для создания снимков экранов.
На странице Welcome to the Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG) нажимаем Далее .
На странице отмечаем опцию Я принимаю условия лицензионного соглашения (I accept the terms of the License Agreements) и жмем Далее . Здесь вы принимаете условия лицензионного соглашения для Microsoft Chart Controls for Microsoft .NET Framework 3.5 and 3.5 SP1 и Microsoft Windows Installer 4.5 .
На странице выбора типа установки Installation Type у вас есть три опции:
- Службы и управление (Forefront TMG services and Management)
- Только управление (Forefront TMG Management only)
- Сервер управления предприятия для централизованного управления массивом (Enterprise Management Server (EMS) for centralized array management)
Новый TMG значительно упрощает работу с TMG EE в отличие от сложностей управления EE в брандмауэре ISA. Именно по этой причине в данной статье мы установим версию EE " чтобы показать вам простоту установки EE. Позже мы создадим отдельный массив, после чего мы уберем отдельный массив и установим массив предприятия. Это просто и весело! Но сначала, давайте разберемся с основами и выберем опцию Forefront TMG services and Management . Нажимаем Далее .
Рисунок 4
На странице Подготовка системы (Preparing System) вы увидите прогресс установки предварительно необходимого ПО.
На странице завершения подготовки Preparation Complete будет показано, что предварительно необходимое ПО было успешно установлено.
Рисунок 6
Теперь откроется страница Welcome to the Installation Wizard for Forefront TMG Enterprise . Нажимаем Далее , чтобы начать установку TMG EE.
Рисунок 7
На странице Лицензионное соглашение (License Agreement) выбираем опцию Я принимаю условия лицензионного соглашения (I accept the terms in the license agreement) и нажимаем Далее .
Рисунок 8
Введите свою информацию (имя пользователя, название организации и серийный номер продукта) на странице информации потребителя Customer Information , а затем нажмите Далее .
Рисунок 9
На странице указания пути установки Installation Path вы можете воспользоваться путем по умолчанию или выбрать собственное место установки, указав путь к папке, в которую хотите установить продукт TMG. В данном примере мы воспользуемся умолчаниями и нажмем Далее .
Рисунок 10
А вот здесь нас ждет пережиток прошлого – страница указания внутренней сети Define Internal Network . В брандмауэре TMG, как и у его предшественника ISA, основная внутренняя сеть (default Internal Network) будет тем местом, где будут располагаться основные сервисы вашей инфраструктуры; сюда входит Active Directory, DNS, DHCP и WINS. Вы можете изменить эту дефиницию позже, если захотите, но нам нужен доступ к этим ресурсам во время установки, поэтому нам придется определить основную внутреннюю сеть сейчас.
Нажмите кнопку Добавить (Add) на странице Define Internal Network . Это вызовет диалоговое окно Адреса (Addresses) . Существует несколько способов добавления адресов основной внутренней сети, но я предпочитаю использовать способ добавления адаптера (Add Adapter) . Нажимаем Добавить адаптер (Add Adapter) .
Рисунок 11
В диалоговом окне выбора сетевого адаптера (Select Network Adapters) выбираем сетевую карту локальной сети LAN , а затем ставим флажок для этой карты. Необходимо убедиться, что информация в разделе подробностей сетевого адаптера (Network adapter details) точно соответствует тем настройкам, которые заданы для выбранной сетевой карты. Затем нажимаем OK .
Рисунок 12
Адреса, назначенные для внутренней сетевой карты, теперь будут отображены в текстовом поле Адреса (Addresses) . Эти адреса основаны на записях таблицы маршрутизации брандмауэра – если вы еще не настроили записи таблицы маршрутизации на своем брандмауэре, эти адреса будут не полностью корректными, но это можно будет исправить позже, и мы рассмотрим эту проблему далее.
Рисунок 13
Рисунок 14
Как и в случае с установкой брандмауэра ISA, во время установки TMG тоже нужно будет перезапустить или отключить некоторые службы. К ним относятся следующие службы:
- SNMP служба
- Служба IIS Admin
- Служба публикации WWW Publishing Service
- Microsoft Operations Manager Service
Примечание: TMG не говорит, что эти службы установлены " он просто говорит, что если эти службы установлены, они будут отключены и перезапущены.
Рисунок 15
Нажимаем Установить на странице Ready to Install the Program .
Рисунок 16
Шкала прогресса будет показывать вам состояние процесса установки.
Рисунок 17
Затем откроется еще одно диалоговое окно и покажет вам, сколько времени займет этот процесс. Обратите внимание, что это приблизительные цифры; несмотря на цифры, которые вы здесь увидите, процесс установки у меня занял почти 30 минут. Это может быть связано с проблемами DNS, которые мы обсудим позже.
Рисунок 18
Теперь мастер установки Installation Wizard завершил работу, и вы, возможно, решите, что все готово. В версии ISA это было именно так. Следующим шагом был переход в консоль брандмауэра ISA и настройка сетей, правил доступа и прочих компонентов для корректной работы программы. Однако в TMG процесс не совсем закончен.
Если вы выберите опцию Запустить управление (Launch Forefront TMG Management) после закрытия мастера установки, появится еще три мастера, которые позволяют вам выполнить все настройки для работы брандмауэра после установки.
Рисунок 19
Поскольку эти мастера новые, а у нас заканчивается допустимый объем символов для этой статьи, мы рассмотрим эти новые мастера установки в следующей части цикла. Надеюсь, вы будете ждать продолжения.
Заключение
В этой статье мы начали с разъяснения того, что установим новый брандмауэр TMG 2010 EE в простой конфигурации. Единственными параметрами на виртуальной машине брандмауэра TMG были настройки DNS, и брандмауэр был присоединен к домену, прежде чем устанавливать программный продукт брандмауэра. Затем мы начали процесс установки, настроили основную внутреннюю сеть и завершили работу мастера установки. В следующей части цикла мы завершим процесс установки брандмауэра, рассмотрев три новых мастера, которые содержатся на странице Getting Started Wizard .
- Запускаем программу установки c DVD диска, Рис.1, далее выбираем Запустить мастер установки
- Разрешаем работу мастера, Рис.7, далее следуем подсказкам мастера Рис. 8 по 14, все это выполняется если требуется установка дополнительных компонентов.
- Мастер начинает сбор сведений для установки продукта, следуйте подсказкам Рис. 15 по 29. Основные моменты, которые здесь требуется определить это номер лицензии, диапазоны адресов для внутренних (защищаемых) сетей.
- После сообщения об успешной установке продукта, запускаем консоль управления Forefront TMG и сразу автоматически запускается мастер первоначальной настройки системы. На данном этапе ваш сервер не пропускает никаких пакетов между интерфейсами, блокируется все.
- Следующим этапом необходимо указать серверу вариант установки, который будет использоваться для последующей работы. Варианты установки указаны на Рис.2 - Рис.6. Далее определяем параметры внутренней (закрытой) сети, выбираем интерфейс и система сама подставляет параметры маски подсети, адрес, шлюз по умолчанию, и прочее. Нажимаем далее и выбираем интерфейс, который смотрит в Интернет, аналогично проверяем что все параметры отображаются корректно. В следующем окне выбираем и настраиваем интерфейс демилитаризованной зоны, здесь присутствует еще один параметр (Public/Private) , при первом варианте устанавливаются отношения маршрутизации между периметром и внешней сетью и сообщение между периметром и закрытой сетью происходят через трансляцию адреса (NAT), при втором варианте трансляция адреса происходит между внешней сетью и сетью периметра, а внутренняя сеть работает с сетью периметра по механизму маршрутизации Рис. 30 по Рис. 38.
- Следующий мастер просит определить установку Forefront TMG как участник домена или изолированный сервер в рабочей группе Рис. 39 по Рис. 41.
- Последний мастер попросит определить как Forefront TMG будет обновляться, будет ли устанавливаться лицензия на активацию NIS (сетевая инспекция) и веб-защита, как часто требуется обновлять сигнатуры угроз, спросит хотите ли вы участвовать в программе улучшения Майкрософт, следует ли отправлять телеметрические данные с сервера в Майкрософт Рис. 42 по Рис. 50.
- Откройте консоль конфигурирования Forefront TMG (Microsoft Forefront TMG Managment), на левой панели выберите "Центр обновления" , нажмите настройки в панели задач, установите политику обновления. Если вы имеете службы обновления (WSUS), то можете выбрать этот вариант, или обновляться непосредственно с сайта Майкрософт, Рис. 51.
-
Далее необходимо настроить параметры внутренней(закрытой) сети. Для этого выбираем "Сеть"
на левой панели и в правом окне переходим на вкладку "Сети".
Открываем свойства внутренней (закрытой) сети, на вкладке "Домены"
добавляем все домены закрытой сети, например "*.contoso.com"
, Рис. 52 по Рис. 55, переходим на вкладку "Веб-браузер"
, отмечаем флажки "Обходить прокси..."
и "Прямой доступ к компьютерам этой сети"
, проверьте что все диапазоны IP-адресов внутренней сети присутствуют, при необходимости можете добавить адреса, Рис. 56-57. Если необходимо настроить функцию автоматического обнаружения настроек браузеров - на вкладке "Автоматическое обнаружение"
отметьте флажок "Публиковать настройки автоматического обнаружения для этой сети"
, также необходимо указать порт, по умолчанию используется порт 80
, Рис. 58. На вкладке "Настройки клиента TMG"
активируем настройки клиента для этой сети (флажок), убираем флажки "Автоматическое определение настроек"
и "Использование автоматических скриптов"
, отмечаем "Использовать Web-прокси сервер"
и указываем имя или адрес сервера. Рис. 59.
Переходим на вкладку "Web-прокси" и активируем Web-прокси соединения для данной сети и указываем порт, по умолчанию порт 80 , вы можете использовать например порт 8080 . Далее идем в аутентификацию и проверяем что отмечена "Встроенная" , на вкладке "Расширенные настройки" , отмечаем "Без ограничений" , затем нажимаем применить и Ok, Рис. 60 по Рис. 63. Теперь необходимо провести аналогичные настройки для сети периметра. - TMG позволяет настроить мониторинг ресурсов, для этого откройте "Мониторинг" на левой панели и зайдите на вкладку "Проверка соединений" , создайте проверяющие правила для DNS, DHCP, Активного каталога, или произвольное правило для проверки доступности какого-либо ресурса, Рис. 64 по Рис. 66.
- По умолчанию весь трафик запрещен, поэтому необходимо создать разрешающее правило для HTTP и HTTPS протоколов из внутренней сети к сети периметра и ко внешней сети и еще правило для доступа HTTP и HTTPS трафика от сети периметра к внутренней и внешней сетям. Рис. 67 по Рис. 78.
- Проверяем работоспособность TMG. Для проверки заходим на компьютер во внутренней сети, открываем настройки прокси в Internet Explorer, вводим адрес прокси, порт и нажимаем "Применить" , проверяем доступность сайтов, Рис. 79 по Рис. 81. Теперь вы должны успешно подключиться к интернет через TMG.
Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение.
Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:
- уведомления HTTPS осмотра
- поддержку AD Marker
Стандартные функции TMG клиента
- Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
- Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
- Упрощенная настройка маршрутизации в больших организациях
- Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.
Системные требования
TMG клиент имеет некоторые системные требования:
Поддерживаемые ОС
- Windows 7
- Windows Server 2003
- Windows Server 2008
- Windows Vista
- Windows XP
Поддерживаемые версии ISA Server и Forefront TMG
- ISA Server 2004 Standard Edition
- ISA Server 2004 Enterprise Edition
- ISA Server 2006 Standard Edition
- ISA Server 2006 Enterprise Edition
- Forefront TMG MBE (Medium Business Edition)
- Forefront TMG 2010 Standard Edition
- Forefront TMG 2010 Enterprise Edition
Настройки TMG клиента на TMG сервере
Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.
Рисунок 1: Параметры TMG клиента на TMG
После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.
В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.
Рисунок 2: Настройки TMG клиента
AD Marker
Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.
Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.
Инструмент TMGADConfig
Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:
Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat
Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.
Установка TMG клиента
Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.
Начните процесс установки и следуйте указаниям мастера.
Рисунок 3: Установка TMG клиента
Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.
Рисунок 4: Выбор компьютера для установки TMG клиента
Расширенное автоматическое определение
Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.
Рисунок 5: Расширенное автоматическое определение
Уведомления HTTPS осмотра
Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.
Рисунок 6: Осмотр защищенных подключений
Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.
Рисунок 7: Сообщение об использовании осмотра защищенных подключений
Заключение
В этой статье я предоставил вам обзор процесса установки и настройки нового Microsoft Forefront TMG клиента. Я также показал вам некоторые новые функции этого Forefront TMG клиента. На мой взгляд, вам следует использовать TMG клиента в любой возможной среде, поскольку он предоставляет вам дополнительные функции безопасности.
Я планирую создание нового сайта и на этот раз собираюсь использовать Drupal. Ибо WordPress показал себя не очень хорошо на возросших нагрузках. На Drupal создание сайтов так же просто и надежно, а маштабируемость и надежность решения намного выше.
Очень хороший сайт с достойным ассортиментом детских игр:обучающие игры для ребенка , развивающие игры и многое другое.
Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).
Установку Windows Server в виртуальную машину мы рассматривали в статье:
Так-же нам потребуеться виртуальная машина с настроенным DNS сервером (мы используем Windows Server 2008 R2 с установленным DNS сервером)
и одним внутренним интерфейсом (тип Внутренняя сеть).
После загрузки файла дважды нажмите на нем, откроеться мастер установки:
Ждем пока распакуеться:
После распаковки файлов вы увидите приветственную страницу:
Нажимаем "запустить средство подготовки", откроеться окно:
Принимаем лицензионное соглашение:
Вводим имя пользователя и организацию:
Откроется окно выбора сетевой платы (выбираем плату внутренней сети):
По окончании мастера установки, в открывшемся окне ставим галку "запустить програму управления":
Появиться веб-страничка об успешной установке и окно мастера начальной настройки:
В мастере нажимаем "настройка параметров сети", откроеться мастер настройки сети:
Указываем сетевую плату внутренней сети:
Указываем сетевую плату внешней сети(на скриншоте установлен DNS 192.168.137.1 - это не правильно, DNS-сервер должен быть один на вутренней сети, а сдесь графа DNS-сервера должна быть пустой):
Проверяем правильность:
В открывшемся мастере начальной настройки нажимаем "настройка системных параметров":
В открывшемся мастере пока оставляем все как есть:
Сдесь мы устанавливаем настройки обновления:
Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт:
На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее:
На этом действии работа мастера первоначальной настройки завершена:
Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов:
На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений:
После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG.
Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки:
На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет:
Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик:
Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена:
Все проверяем:
На этом первоначальная настройка завершена.
