Rakastan uusia asioita, ja olen iloinen voidessani esitellä sinulle uusi tuote: Microsoftin uhka Management Gateway 2010 EE RTM. Tässä artikkelissa tarkastellaan ensin, kuinka TMG 2010 EE RTM asennetaan.

Varsinainen alkuvaihe on tietysti suunnittelu, jossa päätät, mitkä ovat laitteistovaatimukset ja mikä rooli TMG-palomuurilla on verkossasi. Jos et kuitenkaan tunne TMG-palomuuria, sinun on vain asennettava se ja katsottava, miltä se on ja miltä se näyttää. Suunnittelu voidaan keskeyttää, jos päätät, että pidät näkemäsi, mistä puhumme tulevissa artikkeleissa. Ja tässä kaksiosaisessa sarjassa puhumme asennusprosessista ja tuomme esiin mahdollisia ongelmia, joita saatat kohdata prosessin aikana.

Joten aloitetaan!

Kuten aina, ensimmäinen askel on varmistaa, että sinun laitteisto laitteet täyttää minimin järjestelmävaatimukset joka löytyy.

Monet teistä suorittavat tämän asennuksen testausta ja tuotteen arviointia varten. Siksi asennamme TMG-palomuurin RTM-version virtuaalikoneeseen, ja tämä virtuaalikone varustetaan kahdella verkkoliittymällä:

• Ulkoinen liitäntä, joka on siltattu tuotantoverkkoon, joka tarjoaa Internet-yhteyden ja
• Sisäinen käyttöliittymä, joka tarjoaa yhteyden vain muihin virtuaalikoneen.

Tässä esimerkissä ainoa virtuaalikone on toimialueen ohjain, ja TMG-palomuuri kuuluu samaan toimialueeseen kuin toimialueen ohjain.

Tästä tulee puhdas asennus. Ainoa asia, jonka teimme ennen asennusta, oli liittää TMG-virtuaalikone toimialueeseen ja asentaa sitten Windows-päivitykset. En asentanut Exchange-komponentteja tai muita ohjelmistoja. Tavoitteemme on se, mitä useimmat järjestelmänvalvojat tekevät - asentaa ohjelmistotuotteen "vakiokokoonpanoon", jonka jälkeen yritämme määrittää sen niin, että se suorittaa kaikki tarvitsemamme toiminnot, jotta voimme tutustua paremmin tähän tuotteeseen.

Huomautus: Ennen kuin aloitat asennuksen, sinun on tiedettävä verkkokorttien DNS-kokoonpano virtuaalikone TMG. Koska et koskaan (tai tuskin koskaan) sisällytä palomuuriverkkokorttiisi ulkoisia DNS-palvelimia, määritin asetukset etupää ilman yhtään DNS-asetukset, A sisäinen käyttöliittymä sisäisellä IP-osoitteella DNS-palvelimet, joka on myös toimialueen ohjain. Tämä aiheuttaa vaikeuksia, joista puhun myöhemmin, kun kohtaamme ne.

Tässä yksinkertainen piiri verkko, jossa olen tällä hetkellä työskentelee tämän artikkelin parissa:

Kaavio 1

Ensimmäinen vaihe on ladata ohjelman kokeiluversio. TMG ei ole tällä hetkellä saatavilla MSDN:ssä, mutta voit ladata kokeiluversio täältä.

Kun tiedosto on ladattu, tuplaklikkaa sitä ja se puretaan. Kun olet purkanut tiedostot, näet tervetulosivun Tervetuloa Microsoft Forefront TMG:hen. Se näyttää hieman erilaiselta kuin mitä näimme ISA-palomuurissa, ja se sisältää useita uusia vaihtoehtoja. Kiinnitä huomiota osaan Valmistele ja asenna- Nyt voit suorittaa Windows-päivitys tällä asennussivulla. Olemme jo tehneet tämän, joten emme tarvitse sitä. Toinen uusi vaihtoehto on Run Preparation Toolin suorittaminen, ja käytämme sitä. Valitse tämä vaihtoehto.

On aivan selvää, että TMG-kehittäjät käyttivät suuret näytöt kun luot tämän käyttöliittymän. Valintaikkunat iso. Mielestäni tämä on kätevää kehittäjille ja käyttäjille, mutta hankalaa artikkelien kirjoittajille, joilla on rajallinen vaakasuora tila kuvakaappausten ottamiseen.

Sivulla Tervetuloa valmistelutyökaluun Microsoftille Forefront Threat Management Gateway (TMG) paina Seuraavaksi.

Valitse sivulta vaihtoehto Hyväksyn lisenssisopimusten ehdot ja napsauta Seuraavaksi. Täällä hyväksyt lisenssisopimuksen ehdot Microsoft Chart Controls for Microsoft .NET Framework 3.5 ja 3.5 SP1 Ja Microsoft Windows Asennusohjelma 4.5.

Asennustyypin valintasivulla Asennustyyppi sinulla on kolme vaihtoehtoa:

• Forefront TMG-palvelut ja hallinta
• Vain hallinta (Forefront TMG:n hallinta vain)
• Enterprise Management Server (EMS) keskitettyyn taulukonhallintaan

Uusi TMG tekee työstä TMG EE:n kanssa paljon helpompaa kuin monimutkainen EE:n hallinta ISA-palomuurissa. Tästä syystä asennamme tässä artikkelissa EE-version "näyttääksemme sinulle EE:n asennuksen helppouden. Myöhemmin luomme erillisen taulukon, jonka jälkeen poistamme erillisen taulukon ja asennamme yritystaulukon. Se on yksinkertaista ja hauskaa, mutta ensin ymmärretään perusasiat ja valitaan vaihtoehto Forefront TMG-palvelut ja hallinta. Napsauta Seuraavaksi.

Kuva 4

Sivulla Järjestelmän valmistelu Näet vaaditun ohjelmiston asennuksen edistymisen.

Valmistelujen valmistumissivulla Valmistelu valmis se näyttää, että edellytysohjelmisto on asennettu onnistuneesti.

Kuva 6

Sivu avautuu nyt Tervetuloa Forefront TMG Enterprisen ohjattuun asennustoimintoon. Napsauta Seuraavaksi aloittaaksesi TMG EE:n asennuksen.

Kuva 7

Sivulla Lisenssisopimus valitse vaihtoehto Hyväksyn lisenssisopimuksen ehdot ja paina Seuraavaksi.

Kuva 8

Syötä tietosi (käyttäjänimi, organisaation nimi ja tuotteen sarjanumero) kuluttajatietosivulle Asiakastiedot ja napsauta sitten Seuraavaksi.

Kuva 9

Asennuspolkusivulla Asennuspolku voit käyttää oletuspolkua tai valita oma paikka asennus määrittämällä polku kansioon, johon haluat asentaa TMG-tuotteen. IN tässä esimerkissä käytämme oletusasetuksia ja napsautamme Seuraavaksi.

Kuva 10

Mutta täällä meitä odottaa jäänne menneisyydestä - sivu sisäisen verkon osoittamiseksi Määritä sisäinen verkko. TMG-palomuurissa, kuten sen edeltäjässä ISA:ssa, oletusarvoinen sisäinen verkko on paikka, jossa infrastruktuurisi ydinpalvelut sijaitsevat; tämä sisältää Active Directory, DNS, DHCP ja WINS. Voit muuttaa tätä määritelmää myöhemmin, jos haluat, mutta tarvitsemme pääsyn näihin resursseihin asennuksen aikana, joten meidän on määritettävä sisäinen pääverkko nyt.

Napsauta painiketta Lisätä sivulla Määritä sisäinen verkko. Tämä tuo esiin valintaikkunan Osoitteet. On olemassa useita tapoja lisätä pääverkko-osoitteita, mutta käytän mieluummin Add adapter -menetelmää (Lisää sovitin). Napsauta Lisää sovitin.

Kuva 11

Verkkosovittimen valintaikkunassa (Valitse verkkosovittimet) valitse verkkokortti paikallinen verkko LAN ja valitse sitten tämän kortin valintaruutu. Sinun on varmistettava, että verkkosovittimen tiedot -osiossa olevat tiedot (Verkkosovitin yksityiskohdat) vastaa tarkasti valitulle verkkokortille määritettyjä asetuksia. Napsauta sitten OK.

Kuva 12

Sisäiselle verkkokortille määritetyt osoitteet näkyvät nyt tekstikentässä Osoitteet. Nämä osoitteet perustuvat palomuurin reititystaulukon merkintöihin - jos et ole jo määrittänyt reititystaulukon merkintöjä palomuurissasi, nämä osoitteet eivät ole täysin oikeita, mutta tämä voidaan korjata myöhemmin ja tarkastellaan tätä ongelmaa seuraavaksi.

Kuva 13

Kuva 14

Kuten ISA-palomuuriasennuksessa, myös jotkin palvelut on käynnistettävä uudelleen tai poistettava käytöstä TMG-asennuksen aikana. Näihin kuuluvat seuraavat palvelut:

• SNMP-palvelu
• IIS-hallintapalvelu
• WWW-julkaisupalvelu
• Microsoftin toiminnot Johtajapalvelu

Huomautus: TMG ei sano, että nämä palvelut on asennettu, se vain sanoo, että jos nämä palvelut asennetaan, ne poistetaan käytöstä ja käynnistetään uudelleen.

Kuva 15

Napsauta Asentaa sivulla Valmis asentamaan ohjelman.

Kuva 16

Edistymispalkki näyttää asennuksen tilan.

Kuva 17

Toinen valintaikkuna avautuu ja näyttää, kuinka kauan tämä prosessi kestää. Huomaa, että nämä ovat likimääräisiä lukuja; Huolimatta tässä näkemistäsi numeroista, asennusprosessi kesti melkein 30 minuuttia. Tämä voi johtua DNS-ongelmat josta keskustelemme myöhemmin.

Kuva 18

Nyt ohjattu asennustoiminto Ohjattu asennustoiminto olet saanut työn valmiiksi ja saatat ajatella, että olet valmis. Juuri näin oli ISA-versiossa. Seuraava askel oli siirtyä ISA-palomuurikonsoliin ja määrittää verkot, pääsysäännöt ja muut komponentit oikea toiminta ohjelmia. TMG:ssä prosessi ei kuitenkaan ole aivan valmis.

Jos valitset vaihtoehdon Käynnistä Forefront TMG Management Kun olet sulkenut ohjatun asennustoiminnon, näkyviin tulee vielä kolme ohjattua toimintoa, joiden avulla voit tehdä kaikki palomuurin asetukset asennuksen jälkeen.

Kuva 19

Koska nämä ohjatut toiminnot ovat uusia ja tämän artikkelin hahmot ovat loppumassa, tarkastelemme näitä uusia asennusvelhoja sarjan seuraavassa osassa. Toivottavasti odotat jatkoa.

Johtopäätös

Tässä artikkelissa aloitimme selittämällä, että asennamme uuden TMG 2010 EE -palomuurin yksinkertaisessa kokoonpanossa. Ainoat asetukset TMG-palomuuri-VM:ssä olivat DNS-asetukset ja palomuuri liitettiin toimialueeseen ennen asennusta ohjelmistotuote palomuuri. Sitten aloitimme asennuksen, määritimme sisäisen perusverkon ja suoritimme ohjatun asennustoiminnon. Sarjan seuraavassa osassa viimeistelemme palomuurin asennusprosessin tarkastelemalla sivulla olevia kolmea uutta ohjattua toimintoa. Aloitusvelho.

Julkaistu 13. helmikuuta 2009 · Yksi kommentti

Jos et ole vielä kuullut, ISA-palomuuri poistetaan vaiheittain käytöstä. ISA-palomuurin lopullinen versio on ISA 2006. Tämä ei kuitenkaan tarkoita, etteikö vuosien varrella rakastamaamme ISA-ohjelmistoa olisi enää olemassa. Vaikka ISA-brändi jää historian roskakoriin, näemme ISA Firewallin seuraavan version uudella nimellä: Forefront Threat Management Gateway.

On useita syitä, miksi nimi ISA on poistunut käytöstä. Mutta ehkä tärkein syy on se, että yleisö ei näytä pystyneen päättelemään nimestä, mikä ISA-palomuuri on. Joidenkin mielestä se oli vain web-välityspalvelin (Proxy 2.0:n hengessä), toisten mielestä se oli vain yksi palomuuri, toisten mielestä se oli VPN-palvelin, neljäs uskoi, että se oli jonkinlainen Frankenstein tai ei ymmärtänyt yhtään mitään. Uuden nimen pitäisi tuoda enemmän huomiota Forefront TMG:hen ja, kuten yritys toivoo, antaa ihmisten ymmärtää tämän tuotteen päätarkoituksen.

Tässä artikkelissa opastan sinut asennusprosessin läpi. Ennen kuin asennat TMG:n, sinun on kuitenkin tiedettävä seuraavat asiat:

• TMG toimii vain 64-bittisellä versiolla Windows Server 2008. RTM-version julkaisun jälkeen TMG:stä tulee 32-bittinen demoversio, mutta 32-bittiselle Windowsille ei tule beetaversioita
• TMG vaatii vähintään 1 Gt muistia (todennäköisesti toimii pienemmällä muistilla, mutta se on hyvin hidasta)
• 150 Mt vapaata tilaa levyllä
• Tekijä: vähintään yksi verkkokortti (vaikka suosittelen aina kahta tai useampaa verkkokorttia luotettavuuden lisäämiseksi)
• Sinun on asennettava vakiokansio C-asemaan:
• TMG asentaa IIS 7:n koneellesi tukeakseen SQL-raportointipalveluita. Jos poistat TMG:n koneesta, II7 ei poistu automaattisesti, joten sinun on tehtävä se manuaalisesti
• TMG:n palvelut ja ohjaintiedostot asennetaan TMG-asennuskansioon
• TMG:n beta 1 -versiossa TMG-koneen on oltava osa verkkotunnusta. Tulevat beta-versiot tukevat koneita, jotka eivät kuulu verkkotunnuksiin.

Tässä artikkelisarjassa (se pitäisi tehdä kahdessa osassa) asenna TMG:n Windows Server 2008 Enterprise -koneeseen, joka toimii virtuaalikoneena (VM) VMware Virtual Server 1.0:ssa. Virtuaalikoneessa on kaksi liitäntää: yksi liitäntä on siltattu ulkoiseen verkkoon ja toimii ulkoisena liitäntänä, ja toinen liitäntä sijaitsee VMNet2:ssa, joka on oletusarvoinen sisäinen verkkoliitäntä. Huomaa, että TMG:n verkkomalli ei ole muuttunut ISA-palomuurin käyttämästä kokoonpanosta.

TMG on yksi Forefront Stirling -tuotekokoelman ohjelmistoelementeistä. Voit ladata ne kaikki tai vain TMG:n. TMG toimii hienosti ilman Stirlingiä, mutta Stirling on ehdottomasti asia, jota haluat tutkia tulevaisuudessa.

Kaksoisnapsauta lataamaasi tiedostoa. Näet tervetulosivun Tervetuloa Forefront Threat Management Gateway -asennusvelhoon. Napsauta Seuraavaksi.

Kuva 1

Asenna tiedostot oletussijaintiin, joka on . Napsauta Seuraavaksi.

Kuva 2

Tiedostot puretaan tähän kansioon.

Kuva 3

Napsauta Täydellinen kun uuttoprosessi on valmis.

Kuva 4

Siirry kansioon C:\Program Files (x86)\Microsoft ISA Server ja kaksoisnapsauta tiedostoa ISAAutorun.exe.

Kuva 5

Valintaikkuna avautuu Microsoft Forefront TMG 270 päivän arvioinnin asennus. Napsauta linkkiä Asenna Forefront TMG.

Kuva 6

Tämä aiheuttaa tervetuloikkuna ohjattu asennustoiminto Tervetuloa Microsoft Forefront Threat Management Gatewayn ohjattuun asennustoimintoon. Napsauta Seuraavaksi.

Kuva 7

Sivulla Lisenssisopimus valitse vaihtoehto Hyväksyn lisenssisopimuksen ehdot ja paina Seuraavaksi. Huomioi tämä lisenssisopimus sisältää edelleen vanhan tuotteen koodinimen Typpi.

Kuva 8

Sivulla Kuluttajatiedot syötä omasi Käyttäjätunnus Ja Organisaatiot. Sarjanumero tuote on jo syötetty sinulle. Napsauta Seuraavaksi.

Kuva 9

Täältä löydämme uuden asennusvaihtoehdon, jota ei ollut saatavilla tuotteen aiemmissa versioissa. Sivulla Asennusskenaariot Voit asentaa Forefront TMG:n tai vain TMG-hallintakonsolin. Tässä esimerkissä asennamme tuotteen kokonaan, joten valitsemme Asenna Forefront Threat Management Gateway ja paina Seuraavaksi.

Kuva 10

Sivulla Komponenttien valinta sinulla on mahdollisuus asentaa ohjelmisto TMG Firewall, TMG Management Console ja CSS. Kyllä, arvasit sen. Ei enempää Vakioversiot ja Enterprise ISA -palomuuri. TMG myydään yhtenä painoksena, ja tämä yksittäinen painos käyttää CSS:ää, vaikka sinulla olisi TMG-taulukko, jossa on vain yksi jäsen. Voit kuitenkin luoda taulukoita TMG:n avulla, mutta tämä ominaisuus ei ole saatavilla TMG:n beta-versiossa ja se on käytettävissä vain tulevissa beta-versioissa.

Tässä esimerkissä asennamme kaikki komponentit oletuskansioon. Napsauta Seuraavaksi.

Kuva 11

Minulla näyttää olevan ongelma. Vaikka kone on osa verkkotunnusta, unohdin kirjautua sisään verkkotunnukseen kuuluvalla käyttäjätunnuksella. Asentaaksesi TMG:n, sinun on kirjauduttava sisään käyttäjätunnuksella, jolla on oikeudet paikallinen ylläpitäjä TMG-koneessa.

Kuva 12

Näyttää siltä, ​​että minun on käynnistettävä asennus uudelleen. Jatkamme siitä, mihin jäimme, kun kirjaudun ulos järjestelmästä, kirjaudun uudelleen sisään halutulla alla tili ja käynnistä asennus uudelleen.

Kuva 13

Nyt kun olen kirjautunut sisään verkkotunnuksen käyttäjänä, jolla on paikalliset järjestelmänvalvojan oikeudet, jatkamme asennusta sivulta Sisäinen verkko. Jos olet asentanut ISA-palomuurin, tunnistat tämän sivun, koska se on samanlainen kuin ISA-palomuurin aiemmissa versioissa käytetty. Tässä voit määrittää sisäisen oletusverkon. Useimmissa tapauksissa sinun on valittava vaihtoehto Lisää sovitin koska tämä määrittää sisäisen oletusverkkosi ISA-palomuurissa määritetyn reititystaulukon perusteella. En kuitenkaan tiedä, muuttaisiko reititystaulukon kokoonpanon muuttaminen ISA-palomuurissa automaattisesti sisäisen oletusverkon määritelmää. Lyön vetoa 25 dollarilla, että ei, mutta tarkistamme asian tulevaisuudessa.

Kuva 14

Sivu Sisäinen verkko näyttää sisäisen verkon oletusmäärityksen. Napsauta Seuraavaksi.

Kuva 15

Sivu Palveluhälytys ilmoittaa sinulle siitä SNMP-palvelu, IIS-hallintapalvelu, World Publishing Service Wide Web Kustannuspalvelu Ja Microsoftin palvelu Toimintapäällikkö käynnistetään uudelleen asennuksen aikana. Et todennäköisesti ole vielä asentanut verkkopalvelimen roolia tälle koneelle, joten sinun ei tarvitse huolehtia IIS-hallintapalvelusta ja Maailmanlaajuinen Web Publishing Service, mutta sinun tulee olla tietoinen SNMP- ja Microsoft Operation Manager -palvelun uudelleenkäynnistämisestä. Muista, että TMG asentaa ja määrittää IIS 7:n puolestasi.

Kuva 16

Napsauta Asentaa sivulla Ohjattu toiminto on valmis asentamaan ohjelman.

Kuva 17

Edistymispalkki näyttää asennuksen tilan. Täältä näet kuinka CSS asennetaan.

Kuva 18

Se toimi! Sivu Ohjattu asennus on valmis ilmaisee, että asennusprosessi on suoritettu onnistuneesti. Valitse rivin vieressä oleva valintaruutu Käynnistä Forefront TMG Management, kun asennus on valmis. Napsauta Täydellinen.

Kuva 19

Päällä tässä vaiheessa näet web-sivun Suojaa Forefront TMG -palvelinta. Täältä saat tietoa sisällyttämisestä Microsoft Update, käytät ISA BPA:ta ja luet osion Suojaus ja turvallisuus ohjetiedosto. Toistaiseksi voin sanoa yhden asian ohjetiedostosta, jonka valmistajat ovat tehneet hienoa työtä päivittää sen sisältöä. Se sisältää paljon lisätietoja, ja tietoa paljon lähempänä todelliset olosuhteet asennus sisältyy uuteen ja paranneltuun ohjetiedostoon. Suosittelen, että vietät aikaa sen lukemiseen. Vakuutan sinulle, että jos olet kokenut ISA Firewall -järjestelmänvalvoja, TMG-ohjetiedosto opettaa sinulle paljon.

Kuva 20

valmistumisen jälkeen ensimmäinen asennus, se avautuu sinulle uusi mestari Aloitusvelho. Ohjattu aloitustoiminto on uusi ominaisuus, joka on vain TMG:ssä ja joka ei ollut käytettävissä ISA Firewallin aiemmissa versioissa. Se sisältää kolme perusvelhoa ja valinnaisen neljännen, joita tarkastelemme, kun olemme käsitelleet kolme ensimmäistä.

Ensimmäinen mestari on Verkkoasetusten ohjattu toiminto. Seuraa linkkiä Määritä verkkoasetukset sivulla Aloitusvelho.

Kuva 21

Sivulla Tervetuloa ohjattuun verkon asennustoimintoon napsauta Seuraavaksi.

Kuva 22

Sivulla Verkkomallien valitseminen valitse verkkomalli, jota haluat käyttää TMG:ssä. Nämä ovat samoja verkkomalleja, joita käytettiin ISA-palomuurin aiemmissa versioissa. Napsauta kutakin vaihtoehtoa ja lue sivun alareunassa näkyvät tiedot.

Tässä esimerkissä käytämme haluamaamme mallia, joka on malli Edge palomuuri. Napsauta Seuraavaksi.

Kuva 23

Sivulla Lähiverkon (LAN) asetukset Sinulla on mahdollisuus määrittää IP-osoitetiedot LAN-liitännälle. Valitse ensin NIC ( verkkokortti), josta haluat tehdä ISA-palomuurin LAN-liitännän napsauttamalla navigointivalikko riviä kohti Verkkosovitin liitetty lähiverkkoon. Tämän verkkokortin IP-osoitetiedot tulevat näkyviin automaattisesti. Täällä voit muuttaa IP-osoitetietoja. Voit myös luoda lisää staattiset reitit painamalla painiketta Lisätä.

En todellakaan tiedä, mitkä muutokset tällä sivulla olisivat sopivia sisäisen oletusverkon määrittämiseen. Oletetaan, että päätin määrittää sisäisen oletusverkon arvoon 10.0.0.0-10.0.0.255, ja sitten päätin muuttaa tämän sivun sisäisen rajapinnan IP-osoitteen niin, että se päätyi eri verkkotunnukseen. Muuttuuko sisäisen verkon oletusmääritys? Mitä jos lisään staattisen reitin TMG:n sisäiseen käyttöliittymään? Näkyykö tämä muutos sisäisen verkon oletusmäärittelyssä? En tiedä, mutta aion tehdä tutkimusta tulevaisuudessa.

En tee tälle sivulle muutoksia, koska olen jo määrittänyt tausta- ja tarvittavat tiedot IP-osoite. Napsauta Seuraavaksi.

Kuva 24

Sivulla Internet-asetukset Voit määrittää IP-osoitetiedot TMG-palomuurin ulkoiselle rajapinnalle. Kuten jatkossakin edellinen sivu, valitset verkkokortin, josta haluat tehdä käyttöliittymän, valitsemalla rivin navigointivalikosta Verkkosovitin kytketty Internetiin. Täällä voit myös muuttaa IP-osoitetietoja. Koska olen jo määrittänyt ulkoisen liitännän ja IP-osoitetiedot, en tee tähän muutoksia. Napsauta Seuraavaksi.

Kuva 25

Sivulla Ohjatun verkon asennustoiminnon viimeistely tulokset näytetään tehtyjä muutoksia. Napsauta Täydellinen.

Kuva 26

Sinut viedään takaisin sivulle Aloitusvelho. Seuraava mestari on Ohjattu järjestelmäasetusten toiminto. Seuraa linkkiä Määritä järjestelmäasetukset.

Kuva 27

Kuva 28

Sivulla Isännän tunnistus sinulta kysytään TMG-palomuurin isäntänimeä ja verkkotunnusta. Tässä esimerkissä ohjattu toiminto määritti automaattisesti koneen isäntänimen, joka on TMG2009. Isäntä päätti myös, että kone kuuluu toimialueeseen. Uskon, että tämän ohjatun toiminnon avulla voit liittyä verkkotunnukseen, jos et ole jo tehnyt sitä, tai poistua verkkotunnuksesta, jos haluat. Lisäksi, jos kone kuuluu työryhmään, sinulla on mahdollisuus syöttää ensisijainen DNS-liite, jota ISA-palomuuri voi käyttää DNS-verkkotunnuksesi rekisteröimiseen, jos DDNS on käytössä etkä vaadi luotettavia DDNS-päivityksiä.

Koska olen jo määrittänyt tämän koneen verkkotunnuksen jäseneksi, minun ei tarvitse tehdä mitään muutoksia tälle sivulle. Napsauta Seuraavaksi.

Kuva 29

Siinä se työskentelyyn Ohjattu järjestelmän määritystoiminto valmis. Napsauta Täydellinen ohjatun toiminnon valmistumissivulla Ohjatun järjestelmän määritystoiminnon viimeistely.

Kuva 30

Meillä on sivulla vielä yksi mestari jäljellä Aloitusvelho. Seuraa linkkiä Määritä asennusvaihtoehdot.

Kuva 31

Kuva 32

Sivulla Microsoftin asetukset Päivittää onko sinulla vaihtoehtoja Käytä Microsoft Updatea etsiäksesi päivityksiä Ja En halua käyttää Microsoft Update Serviceä. Huomaa, että TMG käyttää Microsoft Updatea paitsi käyttöjärjestelmän ja TMG-palomuuriohjelmiston päivittämiseen, myös haittaohjelmien tarkistamiseen, ja se tekee tämän useita kertoja päivässä (oletusarvoisesti 15 minuutin välein). Koska yksi käytön tärkeimmistä eduista Microsoftin palomuuri yli muiden palomuurien on sen loistava ominaisuus automaattinen päivitys, jatkamme ja käytämme Microsoft Update -sivustoa. Napsauta Seuraavaksi.

Kuva 33

Sivulla Päivitysvaihtoehtojen määrittäminen voit määrittää, haluatko TMG-palomuurin etsitty ja asennettu, vain katsomassa tai ei tehnyt mitään päivittääksesi haittaohjelmatarkistuksen. Voit myös asettaa tarkastustiheyden, joka on oletuksena 15 minuutin välein. Voit kuitenkin asettaa sen lataamaan päivitykset kerran päivässä ja määrittää sitten kellonajan, jolloin päivitykset asennetaan. Napsauta Seuraavaksi.

Kuva 34

Sivulla Palaute kuluttajan kanssa Voit määrittää, haluatko antaa Microsoftille nimettömiä tietoja laitteistokokoonpanostasi ja tuotteen käytöstä. Mitään Microsoftille toimitettuja tietoja ei voida käyttää henkilöllisyytesi määrittämiseen, eikä myöskään mitään henkilökohtaisia ​​tietoja ei siirretä Microsoftille. Luulen, että minun on annettava nimeni, syntymäaikani, sosiaaliturvatunnukseni, ajokorttinumeroni ja pankkiosoitteeni, ja luotan Microsoftiin paljon enemmän kuin pankkiini, koska pankkien on ilmoitettava tiedot liittovaltion hallitukselle. . Siksi näiden teknisten tietojen jakaminen Microsoftin kanssa ei aiheuta riskiä ja auttaa Microsoftia tekemään tuotteistaan ​​vakaampia ja luotettavampia. Valitse vaihtoehto Kyllä, haluan osallistua anonyymisti asiakaskokemuksen parantamisohjelmaan (suositus).

Kuva 35

Sivulla Palvelu Microsoftin telemetria Voit mukauttaa Microsoftin telemetriapalvelun jäsenyystasoa. Microsoft Telemetry auttaa suojautumaan haittaohjelmilta ja luvattomalta käytöltä tarjoamalla yrityksille tietoja mahdollisista hyökkäyksistä, joita Microsoft käyttää hyökkäyksen tyypin määrittämiseen ja uhkien lieventämisen tarkkuuden ja tehokkuuden parantamiseen. Joissakin tapauksissa henkilökohtaisia ​​tietoja voidaan vahingossa lähettää Microsoftille, mutta Microsoft ei käytä näitä tietoja henkilöllisyytesi määrittämiseen tai sinuun ottamiseksi. On vaikea määrittää tarkasti, mitä henkilökohtaisia ​​tietoja voidaan lähettää, mutta koska olen alkanut luottaa Microsoftiin, valitsen vaihtoehdon Liity lisäämällä jäsenyyttäsi. Napsauta Seuraavaksi.

Kuva 36

Sivulla Ohjatun asennustoiminnon viimeistely valitsemasi vaihtoehdot tulevat näkyviin. Napsauta Täydellinen.

Kuva 37

Siinä se! Olemme lopettaneet työskentelyn mestarin kanssa Aloitusvelho. Mutta se ei tarkoita, että se olisi ohi. Jos valitset vaihtoehdon Käynnistä ohjattu Web Access -toiminto, tämän ohjatun toiminnon ikkuna avautuu. Tarkastetaan tämä vaihtoehto ja katsotaan mitä tapahtuu.

Kuva 38

Ohjatun toiminnon tervetuloikkuna avautuu. Tervetuloa ohjattuun Web Access Policy Wizard -toimintoon. Koska tämä uusi tapa Luodaessamme TMG-palomuurikäytännön, odotamme seuraavaan osaan asti, jotta voimme tarkastella tätä ohjattua toimintoa yksityiskohtaisesti. Näyttää siltä, ​​​​että TMG antaa sinun määrittää verkkokäyttökäytännöt hieman eri tavalla kuin ISA-palomuurin aiemmissa versioissa, joten omistamme seuraavan osan tälle.

Kuva 39

Nyt kun asennus on valmis, meillä on uusi konsoli. Jos katsot vasen paneeli konsoli, näet, että siinä ei ole yhtään välilehteä, mikä tekee navigointiprosessista hieman helpompaa. Näemme myös uusi välilehti Päivityskeskus. Täältä saat tietoa TMG-haittaohjelmien torjuntapalvelun päivityksistä ja saat selville, milloin päivitykset on asennettu.

Kuva 40

Asennuksen päätyttyä huomasin, että siinä oli joitain virheitä. Mutta tämä johtuu todennäköisesti siitä, että TMG ei toiminut ollenkaan asennuksen jälkeen. Pystyin ratkaisemaan tämän ongelman käynnistämällä tietokoneeni uudelleen. En ole varma, johtuiko tämä TMG-palomuurista, joka asennettiin virtuaaliseen VMware-palvelin, tai se, että tämä on beta-versio.

Kuva 41

Kiinnittää huomiota Ensisijaiset asennustehtävät, saatat huomata, että tähän tietokoneeseen asennettiin useita rooleja ja palveluita osana TMG-asennusta. Tämä sisältää:

Jatkaa

Tässä artikkelissa tarkastelimme TMG-palomuurin asennusprosessia. Tässä oli joitain muutoksia verrattuna ISA Firewallin aikaisempiin versioihin, mutta ei mitään erikoista. Tämä on normaalia, asennus ei ole prosessi, jolta odotat jotain hämmästyttävää. Olemme nähneet asennusprosessiin hienoja parannuksia, jotka lisäävät joustavuutta asennuksen aikana.

Jos vietät vähän enemmän aikaa TMG-palomuuriohjelmiston tutkimiseen asennuksen jälkeen, etkä löydä mitään ominaisuuksia, joita odotit löytäväsi, älä huoli. Tämä on hyvin varhainen beta-versio, ja uskon, että se ei ole vielä läheskään valmis. Tiedän, että ISA 2000:n julkaisun yhteydessä pyydettiin kymmeniä muita ominaisuuksia. Vaikka joskus ensivaikutelma on kestävä, en halua olla syynä ensivaikutelmaan TMG:stä. Muista, että tämä on vasta ensimmäinen beta-versio, joten odota paljon uusia vaihtoehtoja ja ominaisuuksia tulevaisuudessa, jotka voivat tehdä sinut onnelliseksi. Kiitos!

Yksi Forefront TMG:n ominaisuuksista on tuki useille asiakkaille, joita käytetään muodostamaan yhteys Forefront TMG Firewalliin. Yksi asiakastyyppi on Microsoft Forefront TMG -asiakas, joka tunnetaan myös nimellä Winsock-asiakas Windowsille. TMG-asiakkaan käyttö tarjoaa useita parannuksia muihin asiakkaisiin verrattuna (Web-välityspalvelin ja suojattu NAT). Forefront TMG -asiakas voidaan asentaa useisiin Windows-asiakas- ja palvelinkäyttöjärjestelmiin (jota en suosittele päätepalvelimia lukuun ottamatta), jotka on suojattu Forefront TMG 2010:llä. Forefront TMG -asiakas tarjoaa HTTPS-vahvistusilmoituksia (käytetään TMG 2010:ssa), automaattisia . etsintä, parannettu suojaus, sovellustuki ja asiakastietokoneiden kulunvalvonta. Kun Forefront TMG -asiakasohjelmaa käyttävä asiakastietokone tekee palomuuripyynnön, pyyntö välitetään Forefront TMG 2010 -tietokoneelle jatkokäsittelyä varten. Erityistä reititysinfrastruktuuria ei tarvita Winsock-prosessin vuoksi. Forefront TMG -asiakas välittää läpinäkyvästi käyttäjätiedot jokaisen pyynnön yhteydessä, jolloin voit luoda Forefront TMG 2010 -tietokoneeseen palomuurikäytännön säännöillä, jotka käyttävät asiakkaan lähettämiä tunnistetietoja, mutta vain TCP- ja UDP-liikenteen yli. Kaikissa muissa protokollissa sinun on käytettävä suojattua NAT-asiakasyhteyttä.

Vakiotoimintojen lisäksi aikaisemmat versiot Palomuuriasiakkaat, TMG-asiakasohjelmat tukevat:

• HTTPS-tarkastusilmoitukset
• AD Marker -tuki

Tavalliset TMG-asiakasominaisuudet

• Käyttäjä- tai ryhmäpohjainen palomuurikäytäntö Web- ja ei-Web-välityspalvelimille TCP- ja UDP-protokollien kautta (vain näille protokollille)
• Tukee monimutkaisia ​​protokollia ilman TMG-sovellussuodattimen tarvetta
• Yksinkertaistettu reititys suurille organisaatioille
• Automaattinen TMG-tietojen löytäminen DNS- ja DHCP-palvelinasetusten perusteella.

Järjestelmävaatimukset

TMG-asiakkaalla on joitain järjestelmävaatimuksia:

Tuettu käyttöjärjestelmä

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

ISA Serverin ja Forefront TMG:n tuetut versiot

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

TMG-asiakasasetukset TMG-palvelimella

Forefront TMG -palvelimessa on vain muutamia asetuksia, jotka ohjaavat Forefront TMG -asiakkaan toimintaa. Ensinnäkin voit ottaa TMG-asiakastuen käyttöön määrittääksesi sisäisen verkon TMG-palvelimella alla olevan kuvan mukaisesti.

Kuva 1: TMG-asiakasasetukset TMG:ssä

Kun TMG-asiakastuki on käytössä (tämä on oletusarvo, kun normaali asennus TMG), voit myös automatisoida verkkoselaimen määrityksen asiakastietokoneet. Selain vastaanottaa TMG-hallintakonsolissa määritetyt asetukset normaalien TMG-asiakasohjelman päivitysvälien aikana tai palvelun käynnistyksen aikana.

TMG-konsolin TMG-asiakasohjelman Sovellukset-asetuksissa voit ottaa käyttöön tai poistaa käytöstä tiettyjä sovellusriippuvuusasetuksia.

Kuva 2: TMG-asiakasasetukset

AD-merkki

Microsoft Forefront TMG tarjoaa uuden ominaisuuden, joka tunnistaa automaattisesti TMG-palvelimen TMG-asiakkaalle. Toisin kuin aiemmat palomuuriasiakkaiden versiot, Forefront TMG -asiakas voi nyt käyttää Active Directoryn merkkiä löytääkseen vastaavan TMG-palvelimen. TMG-asiakas etsii tarvittavat tiedot Active Directorysta LDAP:n avulla.

Huomautus: jos TMG-asiakas ei löydä AD-tunnusta, se ei vaihda siihen klassinen kaava automaattinen etsintä DHCP:n ja DNS:n kautta turvallisuussyistä. Tällä pyritään vähentämään riskiä sellaisesta tilanteesta, jossa hyökkääjä yrittää pakottaa asiakkaan käyttämään vähemmän turvallinen tapa. Jos Active Directory -yhteys voidaan luoda, mutta AD-merkkiä ei löydy, TMG-asiakkaat käyttävät takaisin DHCP:tä ja DNS:ää.

TMGADConfig-työkalu

Voit luoda AD Marker -määrityksen Active Directoryssa lataamalla TMG AD Config -työkalun keskustasta Microsoftin lataukset Latauskeskus (sinun täytyy löytää AdConfigPack.EXE). Kun olet ladannut ja asentanut työkalun TMG:lle, sinun on suoritettava seuraava komento tulkissa lisätäksesi AD-tunnusavain rekisteriavaimeen:

Tmgadconfig lisää 'oletus'tyyppi winsock' url http://nameoftmgserver.domain.tld:8080/wspad.dat

Voit myös poistaa AD-merkin tmgadconfig-työkalulla, jos päätät olla käyttämättä AD Marker -tukea.

TMG-asiakasohjelman asennus

TMG-asiakasohjelman uusin versio voidaan ladata Microsoftin verkkosivustolta.

Aloita asennus ja noudata ohjatun toiminnon ohjeita.

Kuva 3: TMG-asiakasohjelman asennus

Voit määrittää TMG-palvelimen sijainnin manuaalisesti tai automaattisesti TMG-asiakasohjelman asennuksen aikana. Asennuksen jälkeen voit määrittää tunnistusmoottorin asetukset uudelleen TMG-asiakkaassa käyttämällä TMG Client Configuration Tool -työkalua, joka sijaitsee työasemasi tehtäväpalkissa.

Kuva 4: Tietokoneen valinta TMG-asiakasohjelman asentamista varten

Edistynyt automaattinen tunnistus

Jos haluat muuttaa automaattisen tunnistusprosessin toimintaa, TMG-asiakas on nyt tehnyt sen uusi vaihtoehto määrittääksesi automaattisen tunnistusmenetelmän.

Kuva 5: Edistynyt automaattinen tunnistus

HTTPS-tarkastusilmoitukset

Microsoft Forefront TMG:llä on uusi ominaisuus lähtevien asiakasyhteyksien HTTPS-liikenteen tarkastus. Käyttäjien tiedottamiseksi tästä prosessista uutta TMG-asiakasohjelmaa voidaan käyttää ilmoittamaan käyttäjille, että lähteviä HTTPS-yhteyksiä tarkastetaan tarvittaessa. TMG-järjestelmänvalvojat voivat myös poistaa ilmoitusprosessin käytöstä keskitetysti TMG-palvelimelta tai manuaalisesti jokaisessa Forefront TMG -asiakkaassa.

Kuva 6: Suojattujen yhteyksien tarkastaminen

Jos lähtevän HTTPS-yhteyden tarkastus on käytössä ja mahdollisuus ilmoittaa käyttäjille tästä prosessista on myös käytössä, käyttäjät, joilla on Forefront TMG -asiakasohjelma asennettuna tietokoneisiinsa, saavat samanlaisen viestin kuin alla olevassa kuvassa.

Kuva 7: Viesti suojatun yhteyden tarkastuksen käytöstä

Johtopäätös

Tässä artikkelissa olen antanut sinulle yleiskatsauksen asennus- ja määritysprosessista uusi Microsoft TMG-asiakas. Esitin sinulle myös tämän Forefront TMG -asiakkaan uusia ominaisuuksia. Mielestäni sinun tulisi käyttää TMG-asiakasohjelmaa kaikissa mahdollisissa ympäristöissä sellaisena kuin se sinulle tarjoaa lisäominaisuuksia turvallisuus.

Aion luoda uuden verkkosivuston ja tällä kertaa aion käyttää Drupalia. Koska WordPress ei toiminut kovin hyvin lisääntyneissä kuormituksissa. Drupalin avulla verkkosivustojen luominen on yhtä yksinkertaista ja luotettavaa, ja ratkaisun skaalautuvuus ja luotettavuus ovat paljon korkeammat.

Erittäin hyvä sivusto, jossa on kunnollinen valikoima lasten pelejä: opetuspelejä lapsille, opetuspelejä ja paljon muuta.

• Käynnistämme asennusohjelman DVD-levyltä, kuva 1, ja valitsemme sitten Käynnistä ohjattu asennus
• Anna ohjatun toiminnon toimia, kuva 7, ja noudata sitten ohjatun toiminnon ohjeita. 8 - 14, kaikki tämä tehdään, jos lisäkomponenttien asennus on tarpeen.
• Ohjattu toiminto alkaa kerätä tietoja tuotteen asentamiseksi noudattamalla kuvan 1 ohjeita. 15 - 29. Tärkeimmät kohdat, jotka on määritettävä tässä, ovat lisenssinumero ja osoitealueet sisäisille (suojatuille) verkkoille.
• Tuotteen onnistunutta asennusta koskevan viestin jälkeen käynnistämme Forefront TMG -hallintakonsolin ja ohjattu toiminto käynnistyy heti automaattisesti alkuasetus järjestelmät. Tässä vaiheessa palvelimesi ei salli pakettien kulkemista rajapintojen välillä, kaikki on estetty.
• Seuraava vaihe on ilmoittaa palvelimelle asennusvaihtoehto, jota käytetään myöhemmissä töissä. Asennusvaihtoehdot näkyvät kuvassa 2 - kuva 6. Seuraavaksi määrittelemme sisäisen (suljetun) verkon parametrit, valitsemme rajapinnan ja järjestelmä itse korvaa aliverkon peitteen, osoitteen, oletusyhdyskäytävän jne. Napsauta seuraavaa ja valitse Internetiin katsova käyttöliittymä ja tarkista samalla, että kaikki parametrit näkyvät oikein. Seuraavassa ikkunassa valitse ja määritä demilitarisoidun vyöhykkeen käyttöliittymä, on vielä yksi parametri (Julkinen/yksityinen), ensimmäisessä vaihtoehdossa reitityssuhteet muodostetaan kehäverkon ja ulkoverkon välille ja kommunikaatio kehän ja suljetun verkon välillä tapahtuu osoitteenmuunnoksen (NAT) kautta, toisessa vaihtoehdossa osoitemuunnos tapahtuu ulkoisen verkon ja kehäverkon välillä. , ja sisäinen verkko toimii kehäverkon kanssa käyttäen reititysmekanismia Rice. 30 kuvan 2 mukaisesti. 38.
• Seuraava ohjattu toiminto pyytää sinua määrittelemään Forefront TMG -asennuksen toimialueen jäseneksi tai itsenäiseksi palvelimeksi työryhmässä. 39 kuvan mukaisesti. 41.
• Viimeinen ohjattu toiminto pyytää sinua määrittämään, kuinka Forefront TMG päivitetään, asennetaanko NIS (Network Inspection) ja Web Security -aktivointilisenssi, kuinka usein uhkatunnisteet on päivitettävä, haluatko osallistua Microsoft Improvement Program -ohjelmaan. ja lähetetäänkö telemetriatiedot Microsoftin palvelimelta Fig. 42 kuvan mukaisesti. 50.
• Avaa Forefront TMG -määrityskonsoli (Microsoft Forefront TMG Managment) ja valitse vasemmasta ruudusta "Päivityskeskus", napsauta tehtäväpalkin asetuksia, aseta päivityskäytäntö. Jos sinulla on päivityspalveluita (WSUS), voit valita tämän vaihtoehdon tai päivittää suoraan Microsoftin verkkosivustolta, kuva 1. 51.
• Seuraavaksi sinun on määritettävä sisäisen (suljetun) verkon parametrit. Tätä varten valitsemme "verkko" Siirry vasemmassa paneelissa ja oikeanpuoleisessa ikkunassa välilehteen "Verkot". Avaa sisäisen (suljetun) verkon ominaisuudet välilehdellä "Domainit" lisätä esimerkiksi kaikki suljetun verkon verkkotunnukset "*.contoso.com", Riisi. 52 kuvan 5 mukaisesti. 55, siirry välilehdelle "Web-selain", valitse ruudut "Ohita välityspalvelimet..." Ja "Suora pääsy tämän verkon tietokoneisiin", tarkista, että kaikki sisäisen verkon IP-osoitealueet ovat olemassa, voit tarvittaessa lisätä osoitteita, kuva. 56-57. Jos sinun on määritettävä selaimen asetusten automaattisen tunnistamisen toiminto - välilehdellä "Automaattinen etsintä" valitse ruutu "Julkaise tämän verkon automaattisen etsintäasetukset", sinun on myös määritettävä portti, oletusarvo on portti 80 , Riisi. 58. Välilehdellä "TMG-asiakasasetukset" aktivoi tämän verkon asiakasasetukset (valintaruutu), poista valintaruutujen valinnat "Automaattinen tunnistus asetukset" Ja "Käyttö automaattiset skriptit" , juhli "Käytä Web-välityspalvelinta" ja ilmoita palvelimen nimi tai osoite. Riisi. 59.
  Siirry välilehdelle "Web-välityspalvelin" ja aktivoi Web-välityspalvelinyhteydet tälle verkolle ja määritä portti, oletusportti 80 , voit käyttää esimerkiksi porttia 8080 . Siirry seuraavaksi todennukseen ja tarkista, että se on valittu "Sisäänrakennettu", välilehdellä "Lisäasetukset", juhli "Ei rajoja", napsauta sitten Käytä ja OK, kuva. 60 kuvan mukaisesti. 63. Nyt sinun on tehtävä samanlaiset asetukset kehäverkolle.
• TMG:llä voit määrittää resurssien valvonnan tätä varten, avaa "Seuranta" vasemmassa paneelissa ja siirry välilehdelle "Tarkistaa liitäntöjä", luo DNS-, DHCP-, Active Directory -tarkistussäännöt tai mukautettu sääntö resurssin saatavuuden tarkistamiseksi, kuva 1. 64 kuvan mukaisesti. 66.
• Oletuksena kaikki liikenne on kiellettyä, joten sinun on luotava HTTP- ja HTTPS-protokollien sallimissääntö sisäisestä verkosta kehäverkkoon ja ulkoiseen verkkoon sekä toinen sääntö HTTP- ja HTTPS-liikenteen käyttämiseksi kehäverkosta verkkoon. sisäiset ja ulkoiset verkot. ulkoiset verkot. Riisi. 67 kuvan mukaisesti. 78.
• TMG:n toimivuuden tarkistaminen. Tarkistaaksesi, mene sisäisen verkon tietokoneelle, avaa välityspalvelimen asetukset Internet Explorerissa, kirjoita välityspalvelimen osoite, portti ja napsauta "Käytä", tarkistamalla sivustojen saatavuuden, kuva. 79 kuvan mukaisesti. 81. Sinun pitäisi nyt pystyä muodostamaan Internet-yhteys onnistuneesti TMG:n kautta.