First Aid Forefront Threat Management Gateway. TMG-asiakasohjelman asennus

Suurin osa alla mainitusta koskee yhtä lailla sekä TMG:tä (Threat Management Gateway 2010) että ISA 2006:ta.

Paljon näistä Microsoftin teoksista voidaan ymmärtää, paljon voidaan nähdä ja ymmärtää katsomalla GUI, mutta jotkut asiat sinun on vain tiedettävä, muuten mikään ei toimi.

TMG, kuten mikä tahansa Microsoftin tuote, vaatii järjettömän paljon resursseja. CPU - vähintään 4 ydintä, enemmän on parempi, (hypertrading) HT - tervetuloa, RAM - vähintään 4 Gt, ladatuissa kokoonpanoissa (jopa 12 000 asiakasta) vaaditaan jopa 12 Gt. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). Erityisesti TMG 2010:ssä, johon 1 asiakas on yhdistetty, mutta ei käytä tällä hetkellä Internetiin, suorituskykymonitori näytti 2 CPU kuormitusta = 1...5%, RAM = 2,37 Gt.

TMG-palvelin tukee kolmea tapaa työskennellä sen läpi:
- TMG-asiakas - erikoisohjelma asennettu PC:lle (ISA 2006:n asiakasohjelma sopii);
— Web-välityspalvelinasiakas — asiakassovelluksen asettaminen toimimaan välityspalvelimen kautta;
— SecureNat-asiakas—TCP/IP-ominaisuuksissa TMG-palvelin on määritetty oletusyhdyskäytäväksi.

Tilipohjainen kulunvalvonta (itse AD tai TMG 2010) on mahdollista joko TMG Client -sovelluksella tai Web-välityspalvelinohjelmalla. Jälkimmäinen tarkoittaa, että ei ole erityinen asiakas sitä ei ole asennettu PC:lle, mutta asiakassovellus voi toimia välityspalvelimen kautta ja TMG-palvelimen osoite ja portti on määritetty välityspalvelimeksi. SecureNat-asiakas EI tue valtuutusta.

TMG-palvelimen pääsysäännöt tarkistetaan peräkkäin ylhäältä alas. Heti kun asiakkaan pyyntö vastaa jotakin sääntöä (kolmella kentällä: Protokolla, Alkaen, Mihin), sääntöjen katselu loppuu, ts. loput jätetään huomioimatta. Ja jos pyyntö ei täytä Ehto-kenttää tämä sääntöihin, asiakkaalle ei myönnetä käyttöoikeutta huolimatta siitä, että seurauksena saattaa olla sääntö, joka sallii tällaisen pääsyn.

Esimerkki. Käyttäjä kanssa asiakkaan asentama TMG ja TMG-palvelimelle määritetty oletusyhdyskäytävä käynnistävät Outlook 2010:n. Tili Tämä käyttäjä on AD-Internet-tietoturvaryhmän jäsen.

Sääntö 3 sallii kaiken lähtevän liikenteen käyttäjille, jotka ovat AD-Internet-ryhmän jäseniä. Mutta Outlook ei voi ottaa yhteyttä ulkoiseen sähköpostipalvelin, koska kanssa oletusasetukset TMG-asiakas EI sieppaa Outlook-pyyntöjä, ja SecureNat-asiakas ei osaa todentaa, eikä pysty todistamaan TMG-palvelimelle, että sen käyttäjä on AD-Internet-ryhmän jäsen. Kuitenkin, postiprotokolla kuuluu "Kaikki lähtevän liikenteen" määritelmän alle, ja suunta "Lähde: Sisäinen, To: Ulkoinen" vastaa asiakkaan pyyntöä, ja siksi sääntöjen käsittely pysähtyy sääntöön nro 3.

Jos säännöt 3 ja 4 vaihdetaan, Outlook toimii, koska sääntö 4 ei vaadi valtuutusta. Toinen tapa on rajoittaa protokollien luetteloa säännössä 3 (siirtämättä sitä), esimerkiksi jättämällä vain HTTP ja FTP. Sitten pyyntö osoitteesta Outlook-ohjelmat ei "saappaa" säännössä 3 ja sekki saavuttaa säännön 4, jonka mukaan asiakas saa pääsyn.

On toinenkin tapa rikkoa kuvan 1 sääntöjä. Palataanpa edellä mainittuihin oletusasetukset. TMG-asiakas ei sieppaa Outlook-pyyntöjä, koska TMG-asiakas on poistettu käytöstä Sovellusasetuksissa.

Forefront TMG -hallintakonsolin vasemmassa puussa Networking-solmu, keskiosassa on Verkot-välilehti, Sisäinen verkko. oikea paneeli Tehtävät-välilehti, Configure Forefront TMG Client Settings -kohde. (ISA 2006: Määritykset - Yleiset - Määritä palomuuriasiakasasetukset.)

Jos muutat arvon tässä arvosta 1 arvoon 0, Outlook toimii TMG:n kautta kuvan 3 mukaisen pääsysäännön nro 3 mukaisesti. 1.

Ja nyt kysymys Täyttö: miksi kuvan 1 konfiguraatiossa ei ole pingejä?

Vastaus. Ping vastaa parametreja (Protokolla, Alkaen, Mihin) sääntöön nro 3, ja siksi pääsysääntöjen katselu pysähtyy sääntöön nro 3. Mutta Ping ei osaa valtuuttaa, joten pääsy siihen estetään. Voit esimerkiksi tehdä erillisen säännön säännön nro 3 yläpuolelle:

Protokolla = PING
From = sisäinen tai kaikki verkot
Vastaanottaja = Ulkoinen
Käyttäjät = Kaikki käyttäjät

Kuinka yhdistää (vieraan) tilintarkastaja Internetiin

Oletetaan, että tarkastajalla on oma kannettava tietokone, eikä hän syötä sitä omalle toimialueelleen.

Menetelmä 1. Aseta hänen PC:lleen IP-osoite sallitulta alueelta (tietokoneen järjestelmänvalvojan oikeudet vaaditaan).

Menetelmä 2. Määritä selaimessasi Proxy: IP-osoite ja TMG:n portti. Tee ensin paikallinen tili TMG:lle ja anna se tilintarkastajalle. Optimoi Basic valtuutusasetuksissa.

Sovittimen asetukset

(kolmitasoisessa arkkitehtuurissa):


		täytyy olla
	sisäinen palvelin
Rekisteröi tämän yhteyden osoite DNS:ään
NetBIOS TCP/IP:n kautta
Microsoft Network -asiakas
Tiedostojen ja tulosteiden jakaminen Microsoft Networksille
Näytä kuvake ilmoitusalueella, kun yhteys on muodostettu

Int- sisäinen (tarkastelee paikallisverkkoa), Per- kehäverkko (alias DMZ), Alanumero(ulkoinen, yhdistetty Internetiin suoraan tai muiden laitteiden kautta).

Huomaa: Poista "Tiedostojen ja tulosteiden jakaminen Microsoft Networksille" käytöstä sisäinen käyttöliittymä ISA-palvelin ei salli sinun muodostaa yhteyttä tämän ISA-palvelimen jaettuihin kansioihin (osuuksiin) järjestelmäkäytännöstä tai muista pääsysäännöistä riippumatta. Tätä suositellaan parempaa turvallisuutta, koska jaetuilla kansioilla ei ole minkäänlaista paikkaa palomuurissa.

Liitäntäjärjestys(Verkkoyhteydet-ikkunassa Lisäasetukset-valikko - Lisäasetukset - Sovittimet ja sidokset -välilehti):
— Int.
– Per,
- Ulk.

Microsoft Eturintaman uhka Management Gateway 2010 tukee vain toiminnallista Windows-järjestelmät Server 2008 SP2 tai Windows Server 2008 R2.

Järjestelmän vähimmäisvaatimukset:

Tuetut käyttöjärjestelmät: Windows Server 2008 SP2 tai Windows Server 2008 R2;
tietokone, jossa on kaksiytiminen (1 CPU x kaksi ydintä) 64-bittinen prosessori;
2 Gt RAM-muistia;
yksi paikallinen osasto kovalevy Kanssa tiedostojärjestelmä NTFS;

neliytiminen tietokone (2 CPU x kaksi ydintä tai 1 CPU x neljä ydintä) 64-bittinen prosessori;
4 Gt RAM-muistia
2,5 Gt vapaata tilaa kiintolevylläsi (käytetään vain tiedostojen välimuistiin ja väliaikaiseen tallentamiseen haittaohjelmien varalta);
kaksi levyä ohjeeksi syslog ja TMG-loki ja yksi välimuistiin ja haittaohjelmien tarkistamiseen;
yksi tietokoneen käyttöjärjestelmän kanssa yhteensopiva verkkokortti vuorovaikutusta varten sisäisen verkon kanssa;
ylimääräinen verkkokortti jokaista Forefront TMG -palvelimeen kytkettyä verkkoa varten.

Tuotteen asennus

Kattava sarja ohjelmia verkon turvallisuuden varmistamiseen, jonka avulla voit lisätä tietoturvan luotettavuutta ja vahvistaa asiakkaan ja palvelimen hallintaa käyttöjärjestelmät, kiitos integroinnin olemassa olevaan IT-infrastruktuuriin sekä käyttöönoton, hallinnan ja analyysin yksinkertaistamisen.

Microsoftin ponnistelujen ansiosta tuotteen täysi versio (Forefront TMG), joka on Microsoft ISA Serverin suora seuraaja, julkaistiin vuoden 2009 ensimmäisellä puoliskolla. Kaikkien Microsoft ISA Serverin toimintojen lisäksi uusi tuote sisältää parannuksia olemassa oleviin sekä monia uusia ominaisuuksia.

Forefront TMG:tä myydään kahdessa eri koossa: Standard ja Enterprise. Toiminnallisesti ne ovat käytännössä samat, ainoat erot ovat lisenssirajoituksissa, jotka on esitetty alla.


Prosessorit		Ei rajoituksia
	Tukee 2 Gt RAM-muistia	Ei rajoituksia
Verkon kuormituksen tasapainotus
Cache Array Routing -protokollan tuki
Yrityshallintakonsolin käyttäminen
Tarve lisensoida kaikki virtuaalikoneita prosessorilla fyysisen prosessorin lisäksi
Mahdollisuus siirtää toiselle palvelimelle	Lisenssi myönnetään fyysiselle palvelimelle, ja sen voi vaihtaa vain kerran 90 päivässä	Milloin tahansa

* Palvelimet Standard Edition voidaan hallita käyttämällä TMG Enterprise Management Consolea.

Kuva 1: Forefront Threat Management Gateway -asennusikkuna

Tältä asennusikkuna näyttää Heti ennen tuotteen asentamista meidän on suoritettava valmistelutyökalu, joka määrittää Windowsin roolit ja komponentit.

Kuva 2: Forefront Threat Management Gateway -esiasennustyökalu

Kun valmistelutyökalu on suorittanut työnsä, voit siirtyä suoraan itse asennukseen. Forefront Threat Management Gateway joka tapahtuu kolmessa vaiheessa:

pääkomponenttien asennus;
lisäkomponentit (SQL Express);
järjestelmän alustus.

Kuva 3: Forefront Threat Management Gateway -asennusvaiheet

Asennuksen ensimmäisessä vaiheessa sinua pyydetään valitsemaan hakemisto, johon tuote asennetaan, sekä määrittämään osoitealueet, jotka sisällytetään palvelimen sisäiseen verkkoon. Forefront Threat Management Gateway.

Kuva 4: Alueen määritelmä sisäinen verkko

Asennus suoritetaan erityisen ohjatun toiminnon avulla, eikä se aiheuta vaikeuksia.

Kuva 5: IP-osoitteiden valitseminen

Määrittelyn jälkeen verkkokortti Palvelimen sisäiseen verkkoon sisällytettävät IP-osoitealueet korvataan automaattisesti.

Kuva 6: Verkkokortin valinta

Meidän tarvitsee vain vahvistaa valintamme painamalla OK ja ohjattu asennustoiminto varoittaa meitä, että jotkin palvelut pysäytetään tai käynnistetään uudelleen tuotteen asennuksen aikana, jolloin kaikki tapahtuu automaattisesti.

Asennusprosessi on suunniteltu siten, ettei se herätä kysymyksiä edes yksinkertainen käyttäjä, vaikka itse tuote on suunniteltu järjestelmänvalvojat Ja IT-asiantuntijat. On sanottava, että Microsoft välittää käyttäjistään ja yrittää tehdä kaikesta erittäin yksinkertaista ja selkeää.

Aivan asennuksen lopussa edessämme ilmestyy ikkuna, joka ilmoittaa, että asennus on valmis ja nyt meidän pitäisi ajaa hallintaohjelma Forefront Threat Management Gateway.

Kuva 7: Forefront Threat Management Gatewayn asennus on valmis

Valitse ehdotetun kohteen vieressä oleva valintaruutu ja napsauta Valmis. Tässä vaiheessa asennus on valmis, ja siirrymme tuotteen asennukseen.

Alkuasetus

Tuoterajapinta näkyy edessämme, mutta jota emme vielä tarvitse, tässä vaiheessa ehdotetaan ohjelman alkuasennusta käyttämällä erityistä ohjattua toimintoa, joka suorittaa koko asennuksen kolmessa vaiheessa.

Kuva 8: Ohjattu toiminto alkuasetus Forefront Threat Management Gateway

Ikkunan alareunassa näemme varoituksen, että jos päivitetään Microsoft ISA 2006 Määritysasetukset on tuotava ennen tämän ohjatun toiminnon suorittamista.

Nyt meidän pitäisi tehdä yksinkertaiset ohjeet mestarit voidakseen Eturintaman TMG toiminut haluamallamme tavalla. Ensimmäisessä vaiheessa määritämme verkkoparametrit.

Kuva 9: Forefront TMG -verkkoasetusten määrittäminen

Valitse tarvitsemamme menetelmä ja napsauta Seuraavaksi, tässä vaiheessa tämä määritysvaihe päättyy ja ohjattu toiminto ehdottaa siirtymistä järjestelmän määrittämiseen.

Kuva 10: Forefront TMG -verkkoasetusten määrittäminen

Konfiguroimme tarvitsemamme tuotteet ja valitsemme Seuraavaksi, tässä ohjattu toiminto lopettaa työnsä ja meillä on vielä yksi konfigurointikohde jäljellä - käyttöönottoparametrien asettaminen Eturintaman TMG. Tässä ensimmäinen asia, joka meidän on tehtävä, on käyttää Microsoft Update -palvelua toiminnan varmistamiseksi puolustusmekanismeja, jota se käyttää Eturintaman TMG.

Kuva 11: Microsoft-päivitysten asentaminen Forefront TMG:lle

Kuva 12: Forefront TMG -suojausasetusten määrittäminen

Seuraavassa vaiheessa meitä pyydetään konfiguroimaan valitsemamme komponentit.

Kuva 13: Virustentorjuntatietokantapäivitysten määrittäminen

Täällä jätämme kaiken suositeltujen parametrien mukaisesti ja napsautamme Seuraavaksi. Tässä vaiheessa Microsoft yritys kutsuu meidät osallistumaan ohjelmaan, joka on jo tullut tutuksi tämän toimittajan tuotteille ja joka auttaa parantamaan ohjelmistoa. Tätä varten tietokoneeltamme kerätään tietoja, kuten laitteiston kokoonpano- ja käyttötietoja Eturintaman TMG, tiedonkeruu tapahtuu anonyymisti, joten valitsemme meille suositteleman kohteen.

Niille, jotka eivät jostain syystä luota tähän ohjelmaan, on mahdollisuus kieltäytyä osallistumasta, vaikka mielestäni tämä on absurdia, olemme jo uskoneet turvallisuutemme tälle tuotteelle, joten ei ole järkevää epäillä tätä ohjelmaa , ei henkilökohtaisia tietoja tietokoneen kanssa ei mene.

Kuva 14: Ohjelmiston laadunparannusohjelma

Seuraavassa vaiheessa meitä pyydetään valitsemaan ohjelmaan osallistumisen taso Microsoftin telemetriaraportointi. Tämän palvelun avulla Microsoftin asiantuntijat voivat parantaa hyökkäysten tunnistamismalleja sekä kehittää ratkaisuja uhkien seurausten lieventämiseen. Hyväksymme tavanomaisen osallistumistason ja napsauta Seuraavaksi.

Kuva 15: Microsoft Telemetry Reporting -jäsenyystason valitseminen

Tämä vaihe päättää ohjatun alkuasennuksen.

Kuva 16: Ohjatun Web Access -toiminnon käynnistäminen

Napsauta Lähellä ja käynnistää näin välittömästi ohjatun Web Accessin asennustoiminnon. Ensimmäinen askel on pystyä luomaan sääntöjä, jotka estävät suositellut URL-osoitteiden vähimmäisluokat.

Kuva 17: Web-käyttökäytäntösäännöt

Tässä vaiheessa valitsemme suositellun toimenpiteen, ts. säännöt luodaan. Seuraavaksi sinun on valittava, mitkä sivustoluokat haluat estää käyttäjien pääsyn. Tarvittaessa voit lisätä oman ryhmän verkkosivustoja estettäväksi, muuttaa mitä tahansa esiasetetuista sivustoista sekä mahdollisuuden luoda poikkeuksia.

Resurssin suhde tietyntyyppiseen toimeksiantoon suoritetaan käyttämällä pyyntöä Microsoftin mainepalvelu, web-osoitteet lähetetään palvelimelle suojatun kanavan kautta.

Sen jälkeen siirrymme parametreihin, joilla tarkistetaan liikenne haittaohjelmien varalta. Luonnollisesti valitsemme suositellun toimenpiteen meidän kannaltamme HTTP-liikenne suodatettu Eturintaman TMG.

On tärkeää huomata mahdollisuus estää salasanalla suojattujen arkistojen siirtäminen. Tällaisissa arkistoissa haitallisia tiedostoja tai muuta vastenmielistä sisältöä voidaan lähettää erityisesti varmentamisen välttämiseksi.

Kuva 19: Haittaohjelmien tarkistusvaihtoehdot

Seuraava vaihe on määrittää toiminto suhteessa HTTPS-liikenteeseen - tarkista se tai älä, tarkista varmenteet tai älä.

Kuva 20: Forefront TMG:n HTTPS-tarkastusasetukset

Sallimme käyttäjien muodostaa HTTPS-yhteyksiä verkkosivustoille, emme tarkasta tätä liikennettä, mutta estämme sen, jos käytettävä varmenne on virheellinen.

Jatketaan usein kysytyn sisällön verkkovälimuistin asetuksiin, joilla nopeuttaa pääsyä suosituille verkkosivustoille ja optimoida yrityksen verkkoliikenteen kustannukset.

Kuva 21: Web-välimuistin määrittäminen

Kytke päälle tämä vaihtoehto ja ilmoittaa levytila ja sen koko, johon välimuistissa olevat tiedot tallennetaan. Tämä viimeistelee verkkokäyttökäytäntöjen määrityksen.

Kuva 22: Web-käytön asennuksen viimeistely

Asennuksen ja alkuasetusten tulosten perusteella haluan sanoa, että asennusohjelma mahdollistaa erittäin joustavien asetusten tekemisen Eturintaman TMG, monet vakiomallit ovat asentajan itsensä tarjoamia, meille annetaan mahdollisuus muokata niitä sekä mahdollisuus luoda omia ehtojamme ja käytäntöjämme, jotka vastaavat täysin tarpeitamme.

TMG-toiminnot

Katsotaan nyt sisäpuolia Eturintaman TMG ja perinteen mukaan aloitetaan käyttöliittymästä, joka on tehty periaatteella "ei voisi olla yksinkertaisempaa". Koko käyttöliittymä on jaettu kolmeen sarakkeeseen, joista jokainen sisältää selkeästi määritellyt tiedot, joita se kuljettaa ja joka voidaan jakaa kolmeen osaan:

solmun nimi;
toiminnallisuus ja sen toiminnan tilastot;
tehtäviä, jotka voidaan suorittaa tällä solmulla.

Tarkastellaan konseptia tietyn esimerkin avulla, jotta se olisi selvempi.

Suojauksen tilan näyttö

Kuva 23: Forefront TMG -toiminnan tilapaneeli

Vasemmalla puolella näemme solmun nimen - Paneeli, merkitty keskellä erilaisia tietoja moduuleista ja työtilastoista, ja oikeanpuoleisessa sarakkeessa näemme tehtävän, joka voidaan suorittaa - Päivittää ja näemme tämän konseptin valitsemalla minkä tahansa
solmu Eturintaman TMG, myös oikeassa (3) sarakkeessa on yleensä apua tähän solmuun ja tehtäviin.

Tämä on erittäin kätevä konsepti käyttöliittymän rakentamiseen, kaikki on "täysi näkyvissä" silmiemme edessä. Luku Paneeli- Tämä on tilannekuva toiminnan yhteenvedosta Eturintaman TMG, suoritetaan reaaliajassa. Kaikki tärkeät tiedot näkyvät yhdellä näytöllä, mikä auttaa sinua tunnistamaan ja ratkaisemaan ongelmat nopeasti.

Olemme jo tarkastelleet aivan ensimmäistä lohkoa, joten siirrytään osioon Havainto. Tämä osio on pohjimmiltaan transkriptio tapahtumista, joita näemme näytöllä Paneeli.

Tapahtumien tarkkailu

Kuva 24: Valvonta nykyinen tila Eturintaman TMG

Tämä osio on jaettu viiteen välilehteen:

hälytykset;
istunnot;
liitäntätarkistimet;
palvelut;
kokoonpano.

Hälytykset- Tämä on reaktio Eturintaman TMG tiettyä tapahtumaa varten. Käytön ja käytön helpottamiseksi identtiset hälytykset on ryhmitelty. Oikeassa lohkossa meille annetaan mahdollisuus konfiguroida määritelmiä.

Istunnot– istunnon seurantatoiminto Eturintaman TMG voit seurata asiakasliikennettä keskitetysti reaaliajassa. On mahdollista vaihtaa suodatinta, keskeyttää ja pysäyttää valvontaistunto.

Kuva 25: Seurantaistunnot Forefront TMG:ssä

Yhteyden testaajat- Tällä toiminnolla voit seurata yhteyksiä säännöllisesti tietty tietokone tai URL-osoitteet tietokoneellesi Eturintaman TMG.

Kuva 26: Yhteystestauksen seuranta Forefront TMG:ssä

Palvelut– palvelun valvontatoiminto Eturintaman TMG reaaliajassa. Yksittäiset palvelut on mahdollista pysäyttää ja ottaa käyttöön.

Kuva 27: Forefront TMG -palvelujen seuranta

Kokoonpanot– toiminto konfiguraation replikoinnin seuraamiseksi reaaliajassa jokaisessa taulukon elementissä.

Nyt tarkastellaan osiota politiikkaa palomuuri , jossa voit määrittää palomuurikäytäntösäännöt, jotka sallivat tai estävät pääsyn yhdistettyihin verkkoihin, verkkosivustoihin ja palvelimiin verkkoresurssien suojaamiseksi.

Internet-yhteyskäytännöt

Eturintaman TMG tarjoaa joustavan liikenteen suodatussääntöjen ja -käytäntöjen määrityksen: sääntöjen lisäämisen tai poistamisen sekä muutosten tekemisen olemassa oleviin sääntöihin.

Kuva 28: Forefront TMG:n palomuurikäytäntö

Kuva 29: Forefront TMG:n palomuurikäytäntötehtävät

Jokainen tehtävä suoritetaan selkeän ja helposti saatavilla olevan ohjatun asennustoiminnon avulla.
IN Eturintaman TMG ilmestyi uusi solmu kokoonpano, ns Verkkokäyttökäytäntö.

Verkkoliikenteen suodatus

Tämä solmu sisältää kaikki verkkovälityspalvelimen asetukset, parametrit käyttäjien pääsyä varten Internet-resursseihin HTTP-, HTTPS-, FTP-over-HTTP (tunneled FTP) -protokollien kautta sekä konfiguraatioparametrit moduulille, joka tarkistaa käyttäjäliikenteen läsnäolon. / haitallinen koodi– Haittaohjelmien tarkastus.

Kuva 30: Web-käyttökäytäntö Forefront TMG:ssä

Oikeassa kulmassa näemme tehtävät, jotka tämä solmu voi suorittaa. Tämä solmu sisältää komponentin, joka tarkistaa liikenteestä haittaohjelmien varalta - Haittaohjelmien sisällön tarkastus.

Tämä moduuli käyttää Microsoft Antimalware Engineä ja antaa sinun tarkastaa web-välityspalvelinasiakkaiden HTTP- ja tunneloitua FTP-liikennettä.
Lisäksi voit tarkistaa jopa lähtevien HTTPS-yhteyksien liikenteen! Tässä tapauksessa käyttäjä, jonka SSL-istunnon Malware Inspection -moduuli tarkistaa, saa ilmoituksen tästä prosessista. On myös mahdollista sulkea pois tietyt verkkosivustot skannauksesta.

Kuva 31: Liikennetarkastusmoduulin asetukset

Kun lataat suuria tiedostoja, käyttäjälle voidaan näyttää tietoja siitä, miten ladatut tiedostot tarkistetaan haitallisen koodin varalta.

Nyt tarkastellaan seuraavaa solmua, jota kutsutaan politiikkaa sähköposti .

Sähköpostin suodatus

Eturintaman TMG toimii välittäjänä sisäisten SMTP-palvelimien ja ulkoiset SMTP-palvelimet sijaitsee organisaation ulkopuolella ja soveltaa sähköpostikäytäntöjä edelleenlähetettyihin viesteihin.

Kuva 32: Forefront TMG -sähköpostin suodatuskäytäntö

Tehtävät, jotka tämä solmu suorittaa, on merkitty oikeaan sarakkeeseen sen käsitteen mukaisesti, josta keskustelimme tarkastelun alussa. Seuraava solmu, jota tarkastelemme, on Tunkeutumisen estojärjestelmä.

Tunkeutumisen estojärjestelmä (IPS)

Eturintaman TMG sisältää verkkotason tunkeutumisen havaitsemisjärjestelmän (Network based Intrusion Havaintojärjestelmä, N-IDS), jonka on kehittänyt Microsoft Research ja jota kutsutaan nimellä GAPA. Toisin kuin ISA Serverissä käytetyn verkon tunkeutumisen havaitsemismekanismin toiminnallisuuden osittainen toteutus, GAPA on täysimittainen N-IDS-järjestelmä.

Microsoft lupaa, että verkkohyökkäysallekirjoitukset GAPA:n toimivuuden laajentamiseksi toimitetaan säännöllisesti päivityspakettien muodossa Microsoftin palvelu Päivittää.

Kuva 33: Tunkeutumisenestojärjestelmä

Keskisarake sisältää verkkohyökkäysten allekirjoitusten nimet ja suoritettavan oletustoiminnon. Myös tässä solmussa on moduuli Behavioral Intrusion Detection, voit määrittää asetukset havaitsemaan epäillyt tunkeutumiset verkon toimintatietojen perusteella.

Kuva 34: Käyttäytymisen tunkeutumisen tunnistus Forefront TMG:ssä

Tässä osiossa ehdotetaan tunnistusasetusten määrittämistä yleisimpiä hyökkäyksiä varten.

Kuva 35: Tunkeutumisen tunnistusten määrittäminen

Myös DNS-hyökkäykset havaitaan.

Kuva 36: Suodatussääntöjen määrittäminen (IP-parametrit)

Tarvittaessa voit ottaa käyttöön IP-osien eston.

Kuva 37: Tulvahyökkäysten ehkäisyasetusten määrittäminen

IN Eturintaman TMG SIP-protokollan tuki on otettu käyttöön sekä VoIP (Voice over IP) NAT Traversal -toiminto, joka mahdollistaa tämä tyyppi liikenne kulkee käännöspalvelun yhdyskäytävien kautta verkko-osoitteita(NAT). Voit asettaa poikkeuksia IP-osoitteille sekä määrittää kiintiöitä SIEMAILLA.

Etäkäyttökäytäntö

Kuva 38: Käytäntö etäkäyttö Forefront TMG:ssä

Tässä osiossa voit määrittää ja suojata virtuaalisen yksityishenkilön VPN-verkko, jonka avulla kaksi tietokonetta voivat vaihtaa tietoja julkinen verkko yksityisen point-to-point-yhteyden simulointi.

IN Eturintaman TMG Tuki SSTP (Secure Socket Tunneling Protocol) -protokollalle on otettu käyttöön, jonka avulla voit tunneloida VPN-istuntoliikennettä tavallisen HTTP-protokollan sisällä SSL-istunnon sisällä. Tämän mekanismin avulla voit muodostaa saumattomasti VPN-yhteyksiä palomuurin, verkkovälityspalvelimen tai verkko-osoitteen käännöspalvelun asetuksista riippumatta. Tällä hetkellä tätä tekniikkaa tukee vain käyttöjärjestelmä Windows Vista SP1 ja Windows Server 2008.

Verkkoasetukset

Tämä solmu on jaettu seitsemään välilehteen:

Verkot- verkkoympäristön rakentaminen tapahtuu määrittelemällä verkostot ja niiden väliset suhteet.
Verkkosarjat- ryhmitellä verkot joukoiksi, joita voidaan käyttää säännöissä Eturintaman TMG.
Verkkosäännöt– määrittää verkkojen välisen yhteyden olemassaolo ja sen tyyppi.
Verkkokortit– Tässä osassa on yhteystiedot jokaisesta asennetusta verkkokortista.
Reititys– Näyttää tiedot kustakin staattisesta ja aktiivisesta reitistä järjestelmässä.
Web-ketju– Verkkovälityspalvelimen asiakaspyyntöä varten sinun tulee luoda verkkoketjusäännöt, jotka ovat välttämättömiä pyyntöjen reitityksen määrittämiseksi.
IPS-redundanssi– ISP:n redundanssin valvonta mahdollistaa liikenteen jakautumisen seuraamisen kahden ISP-yhteyden välillä.

Kuva 39: Verkkoasetukset Forefront TMG:ssä

IN Eturintaman TMG toiminto toteutettu Internet-palveluntarjoajan linkin redundanssi, jonka avulla voit järjestää vikasietoisen yhteyden Internetiin kahden ISP-kanavan kautta kerralla. Lisäksi sekä Internet-kanavan kuumavarmuuskopiointi että tasapainotus ovat mahdollisia verkon kuormitus Internet-kanavien välillä. Lopuksi on mahdollisuus ohjata tiettyä verkkoliikennettä tietyn Internet-kanavan kautta!

Järjestelmäasetukset

Tämä solmu on jaettu kolmeen välilehteen:

palvelimet;
sovellusten suodattimet;
verkkosuodattimet.

Kuva 40: Järjestelmäasetukset Forefront TMG:ssä

Tab Palvelimet näyttää tiedot kaikista kokoonpanossa olevista palvelimista Eturintaman TMG. Sovellussuodattimet edustaa lisätaso turvallisuus ja voi suorittaa protokollaan ja järjestelmään liittyviä tehtäviä, kuten todennusta ja virustarkistusta. Verkkosuodattimet voi valvoa, analysoida ja siepata välillä HTTP:n kautta lähetettyä dataa paikallinen verkko ja Internet.

Lokit ja raportit

Tab Kirjaaminen- tänne kerätään tietoja tietokoneella tapahtuneista tapahtumista Eturintaman TMG. Valittaessa Suorita pyyntö reaaliaikaiset tapahtumatiedot alkavat näkyä lokissa alkaen yksityiskohtainen kuvaus tapahtumia.

Välilehdellä "Raportti" työraportit luodaan Eturintaman TMG perustuu lokitiedostoihin, jotka tallentavat tietokoneella suoritetut toiminnot. Raportti voidaan luoda kerran tai määrittää tuottamaan säännöllisiä raportteja.

Kuva 41: Forefront TMG:n lokit ja raportit

Päivityskeskus

Kuva 42: Forefront TMG -päivityskeskus

Tämä solmu näyttää asennettujen Microsoft-päivitysten tilan tämä palvelin Eturintaman TMG. Oletuksena määritelmät tarkistetaan 15 minuutin välein.

Vianetsintä

Välilehdellä Vianetsintä hyödyllisiä linkkejä materiaaleihin liittyen huoltoon ja vianetsintään Eturintaman TMG.

Kuva 43: Vianetsintä

Kun käytössä Seuraa muutoksia ja konfiguraatiomuutosta käytetään, tiedot näistä muutoksista tallennetaan tietueeksi tämä osio. Liikenne simulaattori voit arvioida palomuurikäytäntöjä useiden määritettyjen parametrien perusteella.

Suorituskyky Diagnostisten tietojen kerääminen Voit tehdä kyselyjä diagnostiikkalokitietokannasta suodatusehtojen perusteella.
Yhteyden tarkistus auttaa tarkistamaan, pystyvätkö palvelimet Eturintaman TMG muodostaa yhteyden tiettyihin kohdesolmuihin
Internetissä.

Tämä päättää tarkastelumme, ja voimme vain tehdä lopulliset johtopäätökset ja arvioida tuotteen:

Johtopäätökset

Forefront TMG on erittäin toimiva, joustava konfiguraatio, helppo integroida ja täyttää nykyaikaiset vaatimukset kattavan tietoturvan tarjoamiseksi yritysverkkoihin. Mielestämme yksinkertaisuus ja tehokkuus kallistuvat yritysasiakkaat huomioi tämä päätös valitessasi suojausta yritysverkollesi.

Forefront TMG on uuden sukupolven yritysverkkojen Internet-yhdyskäytävän turvajärjestelmät, jotka sisältävät ehkä kaiken tarvittavat toiminnot ja sen pitäisi lähitulevaisuudessa syrjäyttää edeltäjänsä Microsoft ISA Server 2006 vakavasti.

Forefront TMG:n pieniä haittoja ovat liikennekiintiöjärjestelmän puute ( automaattinen sammutus käyttäjä, kun raja on käytetty loppuun) ja FTP-liikenteen virustorjuntatarkistuksen puute. Kuitenkin meidän subjektiivinen arvio ratkaisuja Forefront Threat Management Gateway 9/10.

Yksi Forefront TMG:n ominaisuuksista on tuki useille asiakkaille, joita käytetään muodostamaan yhteys Forefront TMG Firewalliin. Yksi asiakastyyppi on Microsoft Forefront TMG -asiakas, joka tunnetaan myös nimellä Winsock-asiakas Windowsille. TMG-asiakkaan käyttö tarjoaa useita parannuksia muihin asiakkaisiin verrattuna (Web-välityspalvelin ja suojattu NAT). Forefront TMG -asiakas voidaan asentaa useisiin Windows-asiakas- ja palvelinkäyttöjärjestelmiin (jota en suosittele päätepalvelimia lukuun ottamatta), jotka on suojattu Forefront TMG 2010:llä. Forefront TMG -asiakas tarjoaa HTTPS-vahvistusilmoituksia (käytetään TMG 2010:ssa), automaattisia . etsintä, parannettu suojaus, sovellustuki ja asiakastietokoneiden kulunvalvonta. Kun Forefront TMG -asiakasohjelmaa käyttävä asiakastietokone tekee palomuuripyynnön, pyyntö välitetään Forefront TMG 2010 -tietokoneelle jatkokäsittelyä varten. Erityistä reititysinfrastruktuuria ei tarvita Winsock-prosessin vuoksi. Forefront TMG -asiakas välittää läpinäkyvästi käyttäjätiedot jokaisen pyynnön yhteydessä, jolloin voit luoda Forefront TMG 2010 -tietokoneeseen palomuurikäytännön säännöillä, jotka käyttävät asiakkaan lähettämiä tunnistetietoja, mutta vain TCP- ja UDP-liikenteen yli. Kaikissa muissa protokollissa sinun on käytettävä suojattua NAT-asiakasyhteyttä.

Lisäksi vakioominaisuudet aikaisemmat versiot Palomuuriasiakkaat, TMG-asiakasohjelmat tukevat:

HTTPS-tarkastusilmoitukset
AD Marker -tuki

Tavalliset TMG-asiakasominaisuudet

Käyttäjä- tai ryhmäpohjainen palomuurikäytäntö Web- ja ei-Web-välityspalvelimille TCP:n ja UDP-protokolla(vain näille protokollille)
Tukee monimutkaisia protokollia ilman TMG-sovellussuodattimen tarvetta
Yksinkertaistettu reititys suurille organisaatioille
TMG-pohjaisten tietojen automaattinen löytäminen DNS-asetukset ja DHCP-palvelin.

Järjestelmävaatimukset

TMG-asiakkaalla on joitain järjestelmävaatimuksia:

Tuettu käyttöjärjestelmä

Windows 7
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

ISA Serverin ja Forefront TMG:n tuetut versiot

ISA Server 2004 Standard Edition
ISA Server 2004 Enterprise Edition
ISA Server 2006 Standard Edition
ISA Server 2006 Enterprise Edition
Forefront TMG MBE (Medium Business Edition)
Forefront TMG 2010 Standard Edition
Forefront TMG 2010 Enterprise Edition

TMG-asiakasasetukset TMG-palvelimella

Forefront TMG -palvelimessa on vain muutamia asetuksia, jotka ohjaavat Forefront TMG -asiakkaan toimintaa. Ensinnäkin voit ottaa TMG-asiakastuen käyttöön määrittääksesi sisäisen verkon TMG-palvelimella alla olevan kuvan mukaisesti.

Kuva 1: TMG-asiakasasetukset TMG:ssä

Kun TMG-asiakastuki on käytössä (tämä on oletusarvo tyypillisessä TMG-asennuksessa), voit myös automatisoida verkkoselaimen asetukset asiakastietokoneet. Normaalin TMG-asiakasohjelman päivitysvälin tai palvelun käynnistyksen aikana selain vastaanottaa TMG-hallintakonsolissa määritetyt asetukset.

TMG-konsolin TMG-asiakasohjelman Sovellukset-asetuksissa voit ottaa käyttöön tai poistaa käytöstä tiettyjä sovellusriippuvuusasetuksia.

Kuva 2: TMG-asiakasasetukset

AD-merkki

Microsoft Forefront TMG tarjoaa uuden ominaisuuden automaattinen tunnistus TMG-palvelin TMG-asiakkaalle. Toisin kuin aiemmat palomuuriasiakkaiden versiot, Forefront TMG -asiakasohjelma voi nyt käyttää tokenia Active Directory löytääksesi vastaavan TMG-palvelimen. TMG-asiakas etsii tarvittavat tiedot Active Directorysta LDAP:n avulla.

Huomautus: jos TMG-asiakas ei löydä AD-tunnusta, se ei vaihda siihen klassinen kaava automaattinen etsintä DHCP:n ja DNS:n kautta turvallisuussyistä. Tällä pyritään vähentämään riskiä sellaisesta tilanteesta, jossa hyökkääjä yrittää pakottaa asiakkaan käyttämään vähemmän turvallista menetelmää. Jos Active Directory -yhteys voidaan luoda, mutta AD-merkkiä ei löydy, TMG-asiakkaat käyttävät takaisin DHCP:tä ja DNS:ää.

TMGADConfig-työkalu

Voit luoda AD Marker -määrityksen Active Directoryssa lataamalla TMG AD Config -työkalun keskustasta Microsoftin lataukset Latauskeskus (sinun täytyy löytää AdConfigPack.EXE). Kun olet ladannut ja asentanut työkalun TMG:lle, sinun on suoritettava seuraava komento tulkissa lisätäksesi AD-tunnusavain rekisteriavaimeen:

Tmgadconfig lisää "oletus"tyyppi winsock "url http://nameoftmgserver.domain.tld:8080/wspad.dat

Voit myös poistaa AD-merkin tmgadconfig-työkalulla, jos et halua käyttää AD Marker -tukea.

TMG-asiakasohjelman asennus

Useimmat uusin versio TMG-asiakasohjelma voidaan ladata Microsoftin verkkosivustolta.

Aloita asennus ja noudata ohjatun toiminnon ohjeita.

Kuva 3: TMG-asiakasohjelman asennus

Voit määrittää TMG-palvelimen sijainnin manuaalisesti tai automaattisesti TMG-asiakasohjelman asennuksen aikana. Asennuksen jälkeen voit määrittää tunnistusmoottorin asetukset uudelleen TMG-asiakkaassa käyttämällä TMG Client Configuration Tool -työkalua, joka sijaitsee työasemasi tehtäväpalkissa.

Kuva 4: Tietokoneen valinta TMG-asiakasohjelman asentamista varten

Edistynyt automaattinen tunnistus

Jos haluat muuttaa automaattisen tunnistusprosessin toimintaa, TMG-asiakas on nyt tehnyt sen uusi vaihtoehto määrittääksesi automaattisen tunnistusmenetelmän.

Kuva 5: Edistynyt automaattinen tunnistus

HTTPS-tarkastusilmoitukset

Microsoft Forefront TMG:llä on uusi ominaisuus lähtevien asiakasyhteyksien HTTPS-liikenteen tarkastus. Käyttäjien tiedottamiseksi tästä prosessista uutta TMG-asiakasohjelmaa voidaan käyttää ilmoittamaan käyttäjille, että lähteviä HTTPS-yhteyksiä tarkastetaan tarvittaessa. TMG-järjestelmänvalvojat voivat myös poistaa ilmoitusprosessin käytöstä keskitetysti TMG-palvelimelta tai manuaalisesti jokaisessa Forefront TMG -asiakkaassa.

Kuva 6: Suojattujen yhteyksien tarkastaminen

Jos lähtevän HTTPS-yhteyden tarkastus on käytössä ja mahdollisuus ilmoittaa käyttäjille tästä prosessista on myös käytössä, käyttäjät, joilla on Forefront TMG -asiakasohjelma asennettuna tietokoneisiinsa, saavat samanlaisen viestin kuin alla olevassa kuvassa.

Kuva 7: Viesti suojatun yhteyden tarkastuksen käytöstä

Johtopäätös

Tässä artikkelissa olen antanut sinulle yleiskatsauksen asennus- ja määritysprosessista uusi Microsoft TMG-asiakas. Esitin sinulle myös tämän Forefront TMG -asiakkaan uusia ominaisuuksia. Mielestäni sinun tulisi käyttää TMG-asiakasohjelmaa kaikissa mahdollisissa ympäristöissä sellaisena kuin se sinulle tarjoaa lisäominaisuuksia turvallisuus.

Toissapäivänä olimme ymmällämme ja päätimme siirtää kaikki käyttäjät välityspalvelimelle TMG:ssä. Päätin kokeilla tätä prosessia virtuaalikoneella.

Tavalliset TMG-asiakasominaisuudet

Käyttäjä- tai ryhmäpohjainen palomuurikäytäntö Web- ja ei-Web-välityspalvelimille TCP- ja UDP-protokollien kautta (vain näille protokollille)
Tukee monimutkaisia protokollia ilman TMG-sovellussuodattimen tarvetta
Yksinkertaistettu reititys suurille organisaatioille
Automaattinen TMG-tietojen löytäminen DNS- ja DHCP-palvelinasetusten perusteella.

Järjestelmävaatimukset

TMG-asiakkaalla on joitain järjestelmävaatimuksia:

Tuettu käyttöjärjestelmä

Windows 7
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

ISA Serverin ja Forefront TMG:n tuetut versiot

ISA Server 2004 Standard Edition
ISA Server 2004 Enterprise Edition
ISA Server 2006 Standard Edition
ISA Server 2006 Enterprise Edition
Forefront TMG MBE (Medium Business Edition)
Forefront TMG 2010 Standard Edition
Forefront TMG 2010 Enterprise Edition

TMG-asiakasasetukset TMG-palvelimella

Kuva 1: TMG-asiakasasetukset TMG:ssä

Kun TMG-asiakastuki on käytössä (tämä on oletusarvo tyypillisessä TMG-asennuksessa), voit myös automatisoida verkkoselaimen määrityksen asiakastietokoneissa. Normaalin TMG-asiakasohjelman päivitysvälin tai palvelun käynnistyksen aikana selain vastaanottaa TMG-hallintakonsolissa määritetyt asetukset.

TMG-konsolin TMG-asiakasohjelman Sovellukset-asetuksissa voit ottaa käyttöön tai poistaa käytöstä tiettyjä sovellusriippuvuusasetuksia.

AD-merkki

Microsoft Forefront TMG tarjoaa uuden ominaisuuden, joka tunnistaa automaattisesti TMG-palvelimen TMG-asiakkaalle. Toisin kuin aiemmat Firewall-asiakkaiden versiot, Forefront TMG -asiakas voi nyt etsiä vastaavan TMG-palvelimen Active Directoryn merkinnän avulla. TMG-asiakas etsii tarvittavat tiedot Active Directorysta LDAP:n avulla.

Huomautus: Jos TMG-asiakas ei löydä AD-tunnusta, se ei palaa takaisin perinteiseen automaattiseen hakujärjestelmään DHCP:n ja DNS:n kautta turvallisuussyistä. Tällä pyritään vähentämään riskiä sellaisesta tilanteesta, jossa hyökkääjä yrittää pakottaa asiakkaan käyttämään vähemmän turvallista menetelmää. Jos Active Directory -yhteys voidaan luoda, mutta AD-merkkiä ei löydy, TMG-asiakkaat käyttävät takaisin DHCP:tä ja DNS:ää.

TMGADConfig-työkalu

Voit luoda AD Marker -määrityksen Active Directoryssa lataamalla TMG AD Config -työkalun latauskeskuksesta Microsoftin lataus Center (sinun täytyy löytää AdConfigPack.EXE). Kun olet ladannut ja asentanut työkalun TMG:lle, sinun on suoritettava seuraava komento tulkissa lisätäksesi AD-tunnusavain rekisteriavaimeen:

Tmgadconfig lisää 'oletus'tyyppi winsock' url http://nameoftmgserver.domain.tld:8080/wspad.dat

Voit myös poistaa AD-merkin tmgadconfig-työkalulla, jos et halua käyttää AD Marker -tukea.

TMG-asiakasohjelman asennus

TMG-asiakasohjelman uusin versio voidaan ladata Microsoftin verkkosivustolta.

Aloita asennus ja noudata ohjatun toiminnon ohjeita.

Kuva 3: TMG-asiakasohjelman asennus

Kuva 4: Tietokoneen valinta TMG-asiakasohjelman asentamista varten

Edistynyt automaattinen tunnistus

Jos haluat muuttaa automaattisen tunnistusprosessin toimintaa, TMG-asiakkaalla on nyt uusi vaihtoehto automaattisen tunnistusmenetelmän määrittämiseen.

Kuva 5: Edistynyt automaattinen tunnistus

HTTPS-tarkastusilmoitukset

Microsoft Forefront TMG:ssä on uusi ominaisuus lähtevien asiakasyhteyksien HTTPS-liikenteen tarkastamiseen. Käyttäjien tiedottamiseksi tästä prosessista uutta TMG-asiakasohjelmaa voidaan käyttää ilmoittamaan käyttäjille, että lähteviä HTTPS-yhteyksiä tarkastetaan tarvittaessa. TMG-järjestelmänvalvojat voivat myös poistaa ilmoitusprosessin käytöstä keskitetysti TMG-palvelimelta tai manuaalisesti jokaisessa Forefront TMG -asiakkaassa.