Karamihan sa mga sinasabi sa ibaba ay nalalapat nang pantay sa parehong TMG ( Pamamahala ng Banta Gateway 2010) at ISA 2006.

Karamihan sa mga gawa ng Microsoft na ito ay maaaring maunawaan, marami ang makikita at mauunawaan sa pamamagitan ng pagtingin GUI, ngunit ilang bagay na kailangan mo lang malaman, kung hindi, walang gagana.

Ang TMG, tulad ng anumang produkto ng Microsoft, ay nangangailangan ng napakalaking mapagkukunan. CPU - hindi bababa sa 4 na mga core, higit pa ay mas mahusay, (hypertrading) HT - maligayang pagdating, RAM - hindi bababa sa 4 GB, sa mga naka-load na configuration (hanggang sa 12,000 mga kliyente) hanggang sa 12 GB ay kinakailangan. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). Sa partikular, sa TMG 2010, kung saan nakakonekta ang 1 kliyente at kasalukuyang hindi nag-a-access sa Internet, ang monitor ng pagganap ay nagpakita ng 2 load ng CPU = 1...5%, RAM = 2.37 GB.

Sinusuportahan ng TMG server ang 3 paraan upang gawin ito:
— Kliyente ng TMG — espesyal na programa naka-install sa isang PC (ang isang kliyente mula sa ISA 2006 ay angkop);
— Web-proxy client — pagse-set up ng application ng kliyente upang gumana sa pamamagitan ng isang proxy;
— SecureNat client—sa mga katangian ng TCP/IP, ang TMG server ay tinukoy bilang default na gateway.

Ang kontrol sa pag-access na nakabatay sa account (AD o TMG 2010 mismo) ay posible gamit ang TMG Client o ang Web-proxy client. Ang ibig sabihin ng huli ay wala espesyal na kliyente ay hindi naka-install sa PC, ngunit ang client application ay maaaring gumana sa pamamagitan ng isang proxy server at ang address at port ng TMG server ay na-configure bilang isang proxy server. HINDI sinusuportahan ng kliyente ng SecureNat ang awtorisasyon.

Ang mga panuntunan sa pag-access para sa TMG server ay sunud-sunod na sinusuri mula sa itaas hanggang sa ibaba. Sa sandaling tumugma ang kahilingan ng kliyente sa isa sa mga panuntunan (sa pamamagitan ng tatlong field: Protocol, From, To), hihinto ang pagtingin sa mga panuntunan, i.e. ang iba ay hindi pinapansin. At kung ang kahilingan ay hindi nakakatugon sa patlang ng Kundisyon ito mga panuntunan, kung gayon ang kliyente ay hindi binibigyan ng access, sa kabila ng katotohanang maaaring mayroong isang panuntunan na nagpapahintulot sa naturang pag-access.

Halimbawa. Ang isang user na may TMG client na naka-install at ang default na gateway na na-configure sa TMG server ay naglulunsad ng Outlook 2010. Ang account ng user na ito ay isang miyembro ng AD-Internet security group.

Ang Panuntunan 3 ay nagbibigay-daan sa lahat ng papalabas na trapiko para sa mga user na miyembro ng AD-Internet group. Ngunit hindi magagawang makipag-ugnayan ng Outlook sa panlabas mail server, dahil kasama mga default na setting HINDI hinaharang ng kliyente ng TMG ang mga kahilingan ng Outlook, at hindi alam ng kliyenteng SecureNat kung paano magpapatotoo, at hindi mapapatunayan sa server ng TMG na miyembro ng pangkat ng AD-Internet ang user nito. Gayunpaman, ang mail protocol ay nasa ilalim ng kahulugan ng "Lahat ng Papalabas na Trapiko", at ang direksyon na "Mula: Panloob, Patungo: Panlabas" ay tumutugma sa kahilingan ng kliyente, at samakatuwid ang pagproseso ng mga panuntunan ay hihinto sa panuntunan No. 3.

Kung ipapalit ang mga panuntunan 3 at 4, gagana ang Outlook dahil hindi nangangailangan ng pahintulot ang panuntunan 4. Ang isa pang paraan ay ang limitahan ang listahan ng mga protocol sa panuntunan 3 (nang hindi ginagalaw ito), halimbawa, ang HTTP at FTP lang ang iiwan. Kung gayon ang kahilingan mula sa Outlook ay hindi "catch" sa panuntunan 3 at ang tseke ay aabot sa panuntunan 4, ayon sa kung saan ang kliyente ay magkakaroon ng access.

May isa pang paraan upang masira ang mga patakaran ng Fig. 1. Balikan natin ang mga nabanggit sa itaas mga default na setting. Hindi hinarang ng kliyente ng TMG ang mga kahilingan ng Outlook dahil hindi pinagana ang kliyente ng TMG sa Mga Setting ng Application.

Sa kaliwang puno ng Forefront TMG management console, ang Networking node, sa gitnang bahagi ang tab na Mga Network, ang Internal na network, sa kanang panel ang tab na Mga Gawain, ang item na Configure Forefront TMG Client Settings. (Sa ISA 2006: Configuration - General - Define Firewall Client Settings.)

Kung babaguhin mo ang halaga dito mula 1 hanggang 0, gagana ang Outlook sa pamamagitan ng TMG ayon sa panuntunan sa pag-access No. 3 na ipinapakita sa Fig. 1.

At ngayon tanong Upang i-backfill: bakit walang mga ping sa configuration ng Fig. 1?

Sagot. Ang ping ay tumutugma sa mga parameter (Protocol, From, To) sa panuntunan No. 3, at samakatuwid ang pagtingin sa mga panuntunan sa pag-access ay hihinto sa panuntunan No. 3. Ngunit hindi alam ni Ping kung paano mag-awtorisa, kaya tinanggihan ang pag-access dito. Maaari kang, halimbawa, gumawa ng hiwalay na panuntunan sa itaas ng panuntunan No. 3:

Protocol = PING
Mula sa = Panloob o Lahat ng Network
Sa = Panlabas
Mga Gumagamit = Lahat ng Gumagamit

Paano ikonekta ang isang auditor (estranghero) sa Internet

Ipinapalagay na ang auditor ay may sariling laptop at hindi ito ipasok sa kanyang domain.

Paraan 1. Magtakda ng IP address sa kanyang PC mula sa pinapayagang hanay (kinakailangan ang mga karapatan ng administrator sa kanyang PC).

Paraan 2. Sa iyong browser, tukuyin ang Proxy: IP address at port ng iyong TMG. Gumawa muna ng lokal na account sa TMG at ibigay ito sa auditor. Optimize Basic sa mga opsyon sa pahintulot.

Mga setting ng adaptor

(sa three-tier architecture):

			dapat ay
	panloob na server
Irehistro ang address ng koneksyon na ito sa DNS
NetBIOS sa TCP/IP
Kliyente para sa Microsoft Network
Pagbabahagi ng File at Print para sa Microsoft Networks
Ipakita ang icon sa lugar ng notification kapag nakakonekta

Int— panloob (tumingin sa lokal na network), Per- perimeter network (aka DMZ), Ext(panlabas, direktang konektado sa Internet o sa pamamagitan ng iba pang kagamitan).

Mangyaring tandaan: Ang hindi pagpapagana ng 'File and Print Sharing para sa Microsoft Networks' sa panloob na interface ng ISA server ay hindi papayagan ang pagkonekta sa mga nakabahaging folder(shares) ng ISA server na ito, anuman ang patakaran ng system o anumang iba pang panuntunan sa pag-access. Inirerekomenda ito para sa mas mahusay na seguridad, dahil... ang mga shared folder ay ganap na walang lugar sa firewall.

Pagkakasunud-sunod ng koneksyon(sa window ng Network Connections Advanced na menu - Advanced na Mga Setting - Adapter at Bindings na tab):
— Int.
—Per,
- Ext.

Nai-publish noong Pebrero 13, 2009 ni · Isang komento

Kung hindi mo pa naririnig, ang ISA Firewall ay tinatanggal na. Ang huling bersyon ng ISA Firewall ay magiging ISA 2006. Gayunpaman, hindi ito nangangahulugan na ang ISA software na nagustuhan namin sa paglipas ng mga taon ay wala na. Bagama't ang tatak ng ISA ay ire-relegate sa dustbin ng kasaysayan, makikita natin ang susunod na bersyon ng ISA Firewall na may bagong pangalan: Forefront Threat Management Gateway.

Mayroong ilang mga dahilan kung bakit ang pangalang ISA ay hindi na ginagamit. Ngunit marahil ang pangunahing dahilan ay ang publiko ay tila hindi maisip mula sa pangalan kung ano ang ISA Firewall. Ang ilan ay nag-isip na ito ay isang web proxy server lamang (sa diwa ng Proxy 2.0), ang iba ay nag-isip na ito ay isa lamang firewall, ang iba ay nag-isip na ito ay isang VPN server, ang iba ay nag-isip na ito ay isang uri ng Frankenstein o hindi naiintindihan ang anumang bagay. . Ang bagong pangalan ay dapat magdala ng higit na pansin sa Forefront TMG, at, tulad ng inaasahan ng kumpanya, ay magbibigay-daan sa mga tao na maunawaan ang pangunahing layunin ng produktong ito.

Sa artikulong ito, ituturo ko sa iyo ang proseso ng pag-install. Gayunpaman, bago mo i-install ang TMG, kailangan mong malaman ang sumusunod:

• Ang TMG ay tatakbo lamang sa 64-bit Windows Server 2008. Pagkatapos mailabas ang bersyon ng RTM, magkakaroon ng 32-bit demo na bersyon ng TMG, ngunit walang mga beta na bersyon para sa 32-bit na Windows
• Ang TMG ay nangangailangan ng hindi bababa sa 1 GB ng memorya (malamang na ito ay gagana sa mas kaunting memorya, ngunit ito ay magiging napakabagal)
• 150 MB na libreng puwang sa disk
• Sa pamamagitan ng kahit man lang isang NIC (bagaman palagi kong inirerekumenda ang dalawa o higit pang mga NIC para sa higit na pagiging maaasahan)
• Kailangan mong i-install karaniwang folder magmaneho ng C:
• Ii-install ng TMG ang IIS 7 sa iyong makina upang suportahan ang Mga Serbisyo sa Pag-uulat ng SQL. Kung aalisin mo ang TMG mula sa makina, ang II7 ay hindi awtomatikong aalisin, kaya kailangan mong gawin ito nang manu-mano
• Ang mga serbisyo at mga file ng driver para sa TMG ay naka-install sa folder ng pag-install ng TMG
• Para sa bersyon beta 1 ng TMG, ang TMG machine ay dapat na bahagi ng isang domain. Susuportahan ng mga bersyon ng beta sa hinaharap ang mga machine na hindi kabilang sa mga domain.

Sa seryeng ito ng mga artikulo (dapat nating gawin ito sa dalawang bahagi) ini-install ko ang TMG sa Windows machine Server 2008 Enterprise na tumatakbo bilang isang virtual machine (VM) sa VMware Virtual Server 1.0. Ang VM ay may dalawang interface: ang isang interface ay naka-bridge sa panlabas na network at magsisilbing panlabas na interface, at ang pangalawang interface ay matatagpuan sa VMNet2, na magiging default na panloob na interface ng network. Tandaan na ang modelo ng networking para sa TMG ay hindi nagbago mula sa configuration na ginamit ng ISA Firewall.

Ang TMG ay isa sa mga elemento ng software na kasama sa Forefront Stirling na koleksyon ng mga produkto. Maaari mong i-download ang lahat o TMG lamang. Gagana ang TMG nang walang Stirling, ngunit ang Stirling ay talagang isang bagay na gusto mong tingnan sa hinaharap.

I-double click ang file na iyong na-download. Makakakita ka ng welcome page Maligayang pagdating sa Forefront Threat Management Gateway Installation Wizard. I-click Susunod.

Larawan 1

I-install ang mga file sa default na lokasyon, na magiging . I-click Susunod.

Larawan 2

Ang mga file ay i-extract sa folder na ito.

Larawan 3

I-click Kumpleto kapag natapos na ang proseso ng pagkuha.

Larawan 4

Pumunta sa folder C:\Program Files (x86)\Microsoft ISA Server at i-double click ang file ISAAutorun.exe.

Larawan 5

Magbubukas ang isang dialog box Microsoft Forefront TMG 270-Day Evaluation Setup. I-click ang link I-install ang Forefront TMG.

Larawan 6

Ito ay magdudulot welcome window wizard sa pag-install Maligayang pagdating sa Installation Wizard para sa Microsoft Forefront Threat Management Gateway. I-click Susunod.

Larawan 7

Sa pahina Kasunduan sa Lisensya piliin ang opsyon Tinatanggap ko ang mga tuntunin ng kasunduan sa lisensya at pindutin Susunod. Pakitandaan na ang kasunduan sa lisensya ay naglalaman pa rin ng lumang pangalan ng code ng produkto Nitrogen.

Larawan 8

Sa pahina Impormasyon ng Mamimili ipasok ang iyong Username At Mga organisasyon. serial number ng produkto ipapasok na para sa iyo. I-click Susunod.

Larawan 9

Dito nakakita kami ng bagong opsyon sa pag-install na hindi available sa mga nakaraang bersyon ng produkto. Sa pahina Mga senaryo sa pag-install May opsyon kang i-install ang Forefront TMG o ang TMG Management Console lang. Sa halimbawang ito, ganap naming i-install ang produkto, kaya pipiliin namin I-install ang Forefront Threat Management Gateway at pindutin Susunod.

Larawan 10

Sa pahina Pagpili ng Bahagi mayroon kang pagpipilian upang i-install software TMG Firewall, TMG Management Console, at CSS. Oo, nahulaan mo ito. Wala na Mga karaniwang bersyon at Enterprise ISA firewall. Ibebenta ang TMG bilang isang edisyon, at ang solong edisyon na iyon ay gumagamit ng CSS, kahit na mayroon kang TMG array na may isang miyembro lang. Gayunpaman, makakagawa ka ng mga array gamit ang TMG, ngunit hindi available ang feature na ito sa beta na bersyon ng TMG at magiging available lang ito sa mga beta version sa hinaharap.

SA sa halimbawang ito i-install namin ang lahat ng mga sangkap sa default na folder. I-click Susunod.

Larawan 11

Mukhang may problema ako. Bagama't bahagi ng isang domain ang makina, nakalimutan kong mag-log in gamit ang isang username na kabilang sa domain. Upang i-install ang TMG, dapat kang mag-log in bilang isang user na may mga karapatan sa lokal na administrator sa TMG machine.

Larawan 12

Mukhang kailangan kong i-restart ang pag-install. Magpapatuloy kami kung saan kami tumigil pagkatapos kong mag-log out, mag-log in muli gamit ang tamang account, at i-restart ang proseso ng pag-install.

Larawan 13

Ngayong naka-log in na ako bilang isang gumagamit ng domain na may mga karapatan sa lokal na administrator, ipagpapatuloy namin ang proseso ng pag-install mula sa pahina Panloob na network. Kung na-install mo ang ISA Firewall, makikilala mo ang pahinang ito dahil ito ay katulad ng ginamit sa mga nakaraang bersyon ng ISA Firewall. Dito mo tinukoy ang default na panloob na network. Sa karamihan ng mga kaso kailangan mong piliin ang opsyon Magdagdag ng adaptor dahil matutukoy nito ang iyong default na panloob na network batay sa routing table na na-configure sa ISA Firewall. Gayunpaman, hindi ko alam kung ang pagpapalit ng configuration ng routing table sa ISA Firewall ay awtomatikong babaguhin ang kahulugan ng default na panloob na network. Pupusta ako sa iyo ng dalawampu't limang dolyar na hindi, ngunit susuriin namin ito sa hinaharap.

Larawan 14

Pahina Panloob na network ipinapakita ang default na panloob na kahulugan ng network. I-click Susunod.

Larawan 15

Pahina Alerto sa Serbisyo nagpapaalam sa iyo na Serbisyo ng SNMP, Serbisyo ng Pangangasiwa ng IIS, Serbisyo ng World Publishing Wide Web Serbisyo sa Pag-publish At Serbisyo ng Microsoft Operations Manager ay magre-restart sa panahon ng proseso ng pag-install. Malamang na hindi mo pa na-install ang papel ng web server sa machine na ito, kaya hindi mo kailangang mag-alala Mga Serbisyo sa Impormasyon sa Internet Serbisyo ng Admin at World Wide Web Publishing Service, ngunit dapat mong malaman ang pag-restart ng SNMP at Microsoft Operation Manager Service. Tandaan, ii-install at iko-configure ng TMG ang IIS 7 para sa iyo.

Larawan 16

I-click I-install sa pahina Handa na ang wizard na i-install ang program.

Larawan 17

Ipapakita ng progress bar ang status ng pag-install. Dito makikita mo kung paano naka-install ang CSS.

Larawan 18

Ito ay gumana! Pahina Nakumpleto na ang installation wizard ay nagpapahiwatig na ang proseso ng pag-install ay matagumpay na nakumpleto. Lagyan ng check ang kahon sa tabi ng linya Ilunsad ang Forefront TMG Management pagkatapos makumpleto ang pag-install. I-click Kumpleto.

Larawan 19

Naka-on sa yugtong ito makakakita ka ng isang web page Protektahan ang Forefront TMG Server. Dito binibigyan ka ng impormasyon tungkol sa pagsasama Microsoft Update, pagpapatakbo ng ISA BPA, at pagbabasa ng seksyon Proteksyon at kaligtasan file ng tulong. Sa ngayon ay masasabi ko ang isang bagay tungkol sa file ng tulong, nagawa na ng mga tagagawa mahusay na trabaho upang i-update ang nilalaman nito. Naglalaman ito ng higit pang impormasyon, at mas makatotohanang impormasyong kasama sa bago at pinahusay na file ng tulong. Inirerekomenda ko na maglaan ka ng ilang oras sa pagbabasa nito. Ginagarantiya ko sa iyo na kung ikaw ay isang batikang ISA Firewall administrator, ang TMG help file ay magtuturo sa iyo ng maraming.

Larawan 20

Matapos makumpleto ang paunang pag-install, magbubukas ang isang bagong wizard. Wizard sa Pagsisimula. Ang Getting Started Wizard ay isang bagong feature na TMG-only at hindi available sa mga nakaraang bersyon ng ISA Firewall. Kabilang dito ang tatlong pangunahing wizard, at isang opsyonal na ikaapat, na titingnan natin pagkatapos nating harapin ang unang tatlo.

Ang unang master ay Network Settings Wizard. Sundin ang link I-configure ang mga setting ng network sa pahina Wizard sa Pagsisimula.

Larawan 21

Sa pahina Maligayang pagdating sa Network Setup Wizard i-click Susunod.

Larawan 22

Sa pahina Pagpili ng Mga Template ng Network piliin ang template ng network na gusto mong ilapat sa TMG. Ito ang parehong mga template ng network na ginamit sa mga nakaraang bersyon ng ISA Firewall. Mag-click sa bawat opsyon at basahin ang impormasyong ipinapakita sa ibaba ng pahina.

Sa halimbawang ito, gagamitin namin ang aming ginustong template, na siyang template Edge firewall. I-click Susunod.

Larawan 23

Sa pahina Mga setting ng local area network (LAN). Bibigyan ka ng pagkakataong i-configure ang impormasyon ng IP addressing para sa LAN interface. Una mong piliin ang NIC (network card) na gusto mong gawin ang LAN interface sa ISA Firewall sa pamamagitan ng pag-click sa menu ng nabigasyon bawat linya Network adapter na nakakonekta sa LAN. Awtomatikong lalabas ang impormasyon sa IP addressing para sa NIC na ito. Dito maaari mong baguhin ang impormasyon ng IP addressing. Maaari ka ring lumikha ng mga karagdagang static na ruta sa pamamagitan ng pag-click sa pindutan Idagdag.

Hindi ko talaga alam kung anong mga pagbabago sa page na ito ang angkop para tukuyin ang default na internal network. Sabihin nating nagpasya akong i-configure ang default na panloob na network sa 10.0.0.0-10.0.0.255, at pagkatapos ay nagpasya akong baguhin ang IP address sa panloob na interface sa pahinang ito upang ito ay mapunta sa ibang network ID. Magbabago ba ang default na panloob na kahulugan ng network? Paano kung magdagdag ako ng static na ruta sa panloob na interface ng TMG? Makikita ba ang pagbabagong ito sa default na panloob na kahulugan ng network? Hindi ko alam, ngunit gagawa ako ng ilang pananaliksik sa hinaharap.

Hindi ako gagawa ng anumang pagbabago sa page na ito dahil na-set up ko na panloob na interface at ang kinakailangang impormasyon sa IP addressing. I-click Susunod.

Larawan 24

Sa pahina Mga Pagpipilian sa Internet Maaari mong i-configure ang impormasyon ng IP addressing para sa panlabas na interface ng TMG firewall. Tulad ng sa nakaraang pahina, pipiliin mo ang NIC na gusto mong gawin sa harap sa pamamagitan ng pagpili sa linya sa menu ng nabigasyon Network adapter na nakakonekta sa Internet. Dito maaari mo ring baguhin ang impormasyon ng IP addressing. Since na-configure ko na dulo sa harap at impormasyon ng IP address, hindi ako gagawa ng anumang pagbabago dito. I-click Susunod.

Larawan 25

Sa pahina Pagkumpleto ng Network Setup Wizard ipinapakita ang mga resulta ginawang pagbabago. I-click Kumpleto.

Larawan 26

Ikaw ay dadalhin pabalik sa pahina Wizard sa Pagsisimula. Ang susunod na master ay System Settings Wizard. Sundin ang link I-configure ang mga setting ng system.

Larawan 27

Larawan 28

Sa pahina Host Identification tatanungin ka tungkol sa host name at domain affiliation ng TMG firewall. Sa halimbawang ito, awtomatikong tinutukoy ng wizard ang hostname ng makina, na TMG2009. Natukoy din ng master na ang makina ay kabilang sa domain. Naniniwala akong papayagan ka ng wizard na ito na sumali sa domain kung hindi mo pa nagagawa, o umalis sa domain kung gusto mo. Gayundin, kung pagmamay-ari ang kotse grupong nagtatrabaho, magkakaroon ka ng opsyong maglagay ng pangunahing DNS suffix na magagamit ng ISA Firewall upang irehistro ang iyong DNS domain kung pinagana mo ang DDNS at hindi nangangailangan ng maaasahang mga update sa DDNS.

Dahil na-configure ko na ang machine na ito bilang miyembro ng domain, hindi ko na kailangang gumawa ng anumang mga pagbabago sa page na ito. I-click Susunod.

Larawan 29

Iyon ay para sa trabaho kasama System Configuration Wizard tapos na. I-click Kumpleto sa pahina ng pagkumpleto ng wizard Pagkumpleto ng System Configuration Wizard.

Larawan 30

May isa pa tayong master na natitira sa page Wizard sa Pagsisimula. Sundin ang link Tukuyin ang mga opsyon sa pag-install.

Larawan 31

Larawan 32

Sa pahina Pag-set up ng Microsoft Update mayroon ka bang mga pagpipilian Gamitin ang Microsoft Update para maghanap ng mga update At Hindi ko gustong gamitin ang Microsoft Update Service. Pakitandaan na ang TMG ay gumagamit ng Microsoft Update hindi lamang para i-update ang OS at TMG firewall software, kundi pati na rin upang suriin kung may malware, at ginagawa ito ng ilang beses sa isang araw (bilang default, bawat 15 minuto). Dahil ang isa sa mga pangunahing bentahe ng paggamit ng Microsoft Firewall sa iba pang mga firewall ay ang mahusay na tampok nito awtomatikong pag-update, pagkatapos ay magpapatuloy kami at gagamitin ang site ng Microsoft Update. I-click Susunod.

Larawan 33

Sa pahina Pagtukoy sa mga opsyon sa pag-update tukuyin mo kung gusto mo ang TMG firewall hinanap at na-install, nakatingin lang o walang ginawa para i-update ang malware scan. Maaari mo ring itakda ang dalas ng inspeksyon, na nagde-default sa bawat 15 minuto. Ngunit maaari mo itong itakda upang mag-download ng mga update isang beses sa isang araw, at pagkatapos ay i-configure ang oras ng araw kung kailan naka-install ang mga update na iyon. I-click Susunod.

Larawan 34

Sa pahina Feedback kasama ang mamimili Maaari mong tukuyin kung gusto mong magbigay ng hindi kilalang impormasyon sa Microsoft tungkol sa configuration ng iyong hardware at kung paano ginagamit ang produkto. Walang impormasyong ibinahagi sa Microsoft ang maaaring gamitin upang matukoy ang iyong pagkakakilanlan, at walang personal na nakakapagpakilalang impormasyon ang ibinabahagi sa Microsoft. Naniniwala akong kailangan kong ibigay ang aking pangalan, petsa ng kapanganakan, numero ng social security, numero ng lisensya mga driver at address ng aking bangko, at higit na pinagkakatiwalaan ko ang Microsoft kaysa sa aking bangko, dahil sa mga kinakailangan para sa mga bangko na magpadala ng impormasyon sa pederal na pamahalaan. Samakatuwid, ang paglipat nito teknikal na impormasyon Ang Microsoft ay hindi nagbibigay ng anumang banta, at tinutulungan itong lumikha ng mga produkto nito na mas matatag at maaasahan. Pumili ng opsyon Oo, gusto kong lumahok nang hindi nagpapakilala sa programa ng Customer Experience Improvement (inirerekomenda).

Larawan 35

Sa pahina Serbisyo ng Microsoft Telemetry Maaari mong i-customize ang iyong antas ng pagiging miyembro ng serbisyo ng Microsoft telemetry. Tumutulong ang Microsoft Telemetry na maprotektahan laban sa malware at hindi awtorisadong pag-access sa pamamagitan ng pagbibigay sa mga kumpanya ng impormasyon tungkol sa mga potensyal na pag-atake, na ginagamit ng Microsoft upang makatulong na matukoy ang uri ng pag-atake at pagbutihin ang katumpakan at pagiging epektibo ng pagbabanta ng pagbabanta. Sa ilang mga kaso, maaaring hindi sinasadyang maipadala ang personal na impormasyon sa Microsoft, ngunit hindi gagamitin ng Microsoft ang impormasyong ito upang matukoy ang iyong pagkakakilanlan o makipag-ugnayan sa iyo. Mahirap matukoy nang eksakto kung anong personal na impormasyon ang maaaring ipadala, ngunit dahil nagtiwala ako sa Microsoft, pipiliin ko ang opsyon Sumali sa tumaas na antas mga accessories. I-click Susunod.

Larawan 36

Sa pahina Pagkumpleto ng installation wizard ipinapakita ang mga opsyon na iyong pinili. I-click Kumpleto.

Larawan 37

yun lang! Natapos na kaming magtrabaho kasama ang master Wizard sa Pagsisimula. Pero hindi ibig sabihin nun tapos na. Kung susuriin mo ang opsyon Ilunsad ang Web Access Wizard, pagkatapos ay magbubukas ang window ng wizard na ito. Tingnan natin ang opsyong ito at tingnan kung ano ang mangyayari.

Larawan 38

Magbubukas ang welcome window ng wizard. Maligayang pagdating sa Web Access Policy Wizard. Dahil ito bagong paraan paglikha ng isang patakaran sa firewall ng TMG, sa palagay ko maghihintay kami hanggang sa susunod na bahagi upang tingnan ang wizard na ito nang detalyado. Mukhang papayagan ka ng TMG na i-configure ang mga patakaran sa pag-access sa web nang medyo naiiba kaysa sa mga nakaraang bersyon ng ISA Firewall, kaya ilalaan namin ang susunod na bahagi doon.

Larawan 39

Ngayong kumpleto na ang pag-install, mayroon kaming bagong console. Kung titingnan mo kaliwang panel console, makikita mo na talagang walang mga tab dito, na ginagawang mas madali ang proseso ng nabigasyon. Nakikita rin natin bagong tab Update Center. Mula dito makakakuha ka ng impormasyon tungkol sa mga update sa serbisyong anti-malware ng TMG at malaman kung kailan na-install ang mga update na iyon.

Larawan 40

Matapos makumpleto ang proseso ng pag-install, nalaman kong may ilang mga error. Ngunit ito ay marahil dahil sa ang katunayan na ang TMG ay hindi gumana sa lahat pagkatapos ng pag-install. Nalutas ko ang isyung ito sa pamamagitan ng pag-restart ng aking computer. Hindi ako sigurado kung ito ay dahil sa ang katunayan na ang TMG firewall ay na-install sa isang VMware virtual server, o dahil ito ay isang beta na bersyon.

Larawan 41

Pagbibigay pansin sa Pangunahing mga gawain sa pag-setup, maaari mong mapansin na maraming mga tungkulin at serbisyo ang na-install sa computer na ito bilang bahagi ng pag-install ng TMG. Kabilang dito ang:

Ipagpatuloy

Sa artikulong ito, tiningnan namin ang proseso ng pag-install ng TMG firewall. Mayroong ilang mga pagbabago dito kumpara sa mga nakaraang bersyon ng ISA Firewall, ngunit walang kakaiba. Ito ay normal, ang pag-install ay hindi isang proseso kung saan inaasahan mo ang isang bagay na kamangha-manghang. Nakakita kami ng ilang magagandang pagpapabuti sa proseso ng pag-install na nagbibigay ng karagdagang flexibility sa panahon ng pag-setup.

Kung gumugugol ka ng kaunting oras sa pagtingin sa TMG firewall software pagkatapos ng pag-install at hindi mo mahanap ang alinman sa mga tampok na inaasahan mong mahanap, huwag mag-alala. Ito ay isang napakaagang bersyon ng beta at naniniwala ako na ito ay malayo pa sa tapos. Alam kong may mga kahilingan para sa dose-dosenang iba pang mga tampok noong inilabas ang ISA 2000 Bagama't kung minsan ay tumatagal ang mga unang impression, hindi ko nais na maging dahilan para sa iyong unang impression ng TMG. Tandaan, ito lang ang unang beta na bersyon, kaya asahan ang maraming bagong opsyon at feature sa hinaharap na makapagpapasaya sa iyo. salamat po!

Ang wastong na-configure na Forefront TMG, na tumatakbo sa pinakabagong bersyon ng isang secure na na-configure na Windows network operating system, ay ligtas at maaasahan firewall at isang secure na web gateway. Ang pangkalahatang antas ng seguridad ng solusyon ay maaaring mapabuti sa pamamagitan ng paggamit ng mga tip na nakabalangkas sa artikulong ito.

Panimula

Sa kasaysayan, pinaniniwalaan na ang firewall ay kasama sa OS pangkalahatang layunin, Halimbawa Microsoft Windows, maaaring hindi ligtas. Gayunpaman, ang ideyang ito ay matagumpay na pinabulaanan ng SDL (Security Development Lifecycle), isang mahusay na inilarawan na proseso para sa abiso sa kahinaan at pamamahala ng patch ng seguridad, at ang mahabang track record ng seguridad at pagiging maaasahan ng Microsoft ISA Server at Forefront Threat Management Gateway (TMG) . Forefront TMG firewall, na tumatakbo Nakabatay sa Windows Ang Server 2008 R2 ay malamang na mas ligtas ngayon kaysa sa marami sa mga kakumpitensya nito.

Sa tulong ng mga tip sa pagsasaayos ng TMG, maaari mong makabuluhang mapabuti ang pangkalahatang postura ng seguridad ng system at bawasan ang ibabaw ng pag-atake, na siya namang tinitiyak ang pinakamataas na antas ng seguridad ng TMG. Kapag gumagawa ng patakaran sa pamamahala para sa TMG, pinakamainam na ipatupad ang prinsipyo ng hindi bababa sa pribilehiyo. Nasa ibaba ang isang listahan ng mga rekomendasyon na magiging kapaki-pakinabang para sa pagpapatupad ng prinsipyong ito.

Limitahan ang membership sa Forefront TMG na administratibong tungkulin sa antas ng array- ang array-level na TMG administrator role ay ibinibigay buong karapatan upang pangasiwaan ang array sa sinumang user at/o grupo ng mga user na kasama sa tungkulin. Pagkatapos ma-install ang TMG sa system, ang tungkuling ito ay itinalaga sa lokal na grupo bilang default. Mga administrator ng Windows(at gayundin sa user na nag-install ng TMG).

Larawan 1

Ang pandaigdigang pangkat na Mga Administrator ng Domain ay karaniwang isang miyembro ng pangkat ng Mga Lokal na Administrator, na nangangahulugang ang mga miyembro ng pangkat na ito ay magmamana ng buong mga pribilehiyong pang-administratibo sa TMG firewall. Gayunpaman, ito ay hindi isang napakagandang ideya. Para sa pinakamainam na seguridad, dapat na alisin ang pangkat ng mga lokal na administrator mula sa tungkulin ng administrator ng Forefornt TMG sa antas ng array. Dapat tukuyin ang mga miyembro ng tungkuling ito sa pamamagitan ng pagtukoy ng mga partikular na account Aktibong Direktoryo sa halip na magdagdag ng mga grupo sa tungkulin. Bakit mga indibidwal na account at hindi mga grupo? Dahil binibigyan nito ang TMG firewall administrator ng malinaw na kontrol sa kung sino ang eksaktong may ganap na administratibong access sa TMG firewall. Ang paggamit ng mga partikular na account sa halip na mga grupo ay pumipigil, halimbawa, ang isang domain administrator mula sa pagdaragdag ng isang user account sa isang pandaigdigang pangkat ng domain na bahagi ng array-level na tungkulin ng administrator at sa gayon ay nagkakaroon ng kontrol sa TMG. Kung kailangan mo pang gamitin mga pangkat ng domain Upang pamahalaan ang TMG, gumamit ng mga pinaghihigpitang pangkat (http://technet.microsoft.com/ru-ru/library/cc785631(WS.10).aspx).

Limitahan ang pagiging miyembro sa antas ng enterprise na Forefront TMG na administratibong tungkulin- ang antas ng enterprise TMG administratibong tungkulin ay ibinibigay sa lahat ng miyembro ng tungkuling ito ganap na pag-access sa buong enterprise, kasama ang lahat ng TMG arrays sa loob ng enterprise. Pagkatapos i-install ang TMG EMS, ang built-in na lokal na grupo ng mga administrator ay magiging miyembro ng tungkulin bilang default (pati na rin ang user na nag-install ng application).

Gumamit ng hiwalay na administrative account- Pinakamainam na gumamit ng hiwalay na mga account Mga aktibong entry Direktoryo para sa pangangasiwa ng ITU TMG. Huwag gamitin ang mga account na ito upang pangasiwaan ang iba pang mga system. Ang mga account na ito ay dapat magkaroon ng matibay na mga patakaran sa password na may kasamang mahaba, kumplikadong mga password na may maikling buhay. Kung gumagana ang domain Antas ng Windows Server 2008, posibleng paganahin ang mga detalyadong patakaran sa password upang awtomatikong italaga ang mga kinakailangang patakaran (http://technet.microsoft.com/ru-ru/library/cc770394(WS.10).aspx).

Gumamit ng hiwalay at nakahiwalay na workstation para pamahalaan ang TMG- Mag-configure ng hiwalay na workstation para pamahalaan ang TMG firewall. I-install ang administrative console sa makinang ito at pamahalaan ang TMG firewall nang malayuan. Mag-login sa makina na ito lamang na may hiwalay account Tagapangasiwa ng TMG. Mga lokal na patakaran Dapat paghigpitan ng seguridad ang pag-login sa system na ito para sa iba pang mga account. Ang workstation na ito ay dapat na mahusay na protektado, hindi naa-access ng mga malalayong gumagamit, at hindi nakakonekta sa Internet. Mas mainam na gumamit ng multi-factor authentication (smart card o token) para ma-access ang system na ito.

Limitahan ang membership para sa isang network object remote control mga kompyuter- Ang paglilimita sa bilang ng mga miyembro ng isang remote computer management network object ay ang pangunahing paraan para mabawasan ang attack surface ng isang TMG firewall. Bilang default, ang mga host na bahagi ng object ng Remote Computer Management ay may access sa marami sa mga serbisyong tumatakbo sa TMG firewall, kabilang ang RDP, NetBIOS, RPC, Ping, at iba pa. Ang pagbibigay ng access sa mga serbisyong ito ay lumilikha ng isang antas ng panganib na maaaring makabuluhang bawasan sa pamamagitan ng paghihigpit sa pag-access sa pangkat na ito. Sa isip, ang pangkat na ito ay maglalaman lamang ng workstation na nakatuon sa mga gawain sa pangangasiwa.

Limitahan ang access sa network para sa mga ahente ng pamamahala- Kadalasan, ang TMG firewall ay nangangailangan ng pag-install ng mga ahente ng pamamahala ng system mula sa Microsoft o mga tagagawa ng third-party. Iwasang gumawa ng mga patakaran sa pag-access na nagpapahintulot sa ahente na makipag-ugnayan sa ang buong network o mga subnet. Ang mga patakaran sa firewall ay dapat lang na payagan ang mga ahente na kumonekta sa mga kinakailangang host.

Mga pagbabawal

Huwag gamitin ang Firewall TMG bilang isang workstation- iwasan ang paggamit ng browser sa TMG upang bisitahin ang mga site sa Internet, bisitahin mga search engine o mag-download ng mga patch at update. Ang lahat ng mga patch, pati na rin ang kinakailangang software, ay dapat na ma-download sa isang regular na workstation (hindi ang workstation na ginagamit upang pamahalaan ang TMG - ang host na ito ay dapat tanggihan ang Internet access!), Kung saan ang mga file ay maaaring ma-scan bago sila ma-download at mai-install. sa TMG.

Huwag gumamit ng Firewall TMG para sa mga pang-araw-araw na gawain- pinakamahusay na i-install ang TMG management console sa isang hiwalay na workstation, tulad ng inilarawan sa itaas, at limitahan ang bilang ng mga lokal na pag-login sa TMG firewall system hangga't maaari.

Huwag mag-install ng mga kagamitan sa pangangasiwa mula sa firewall ng TMG. tagagawa ng third party - maraming bahagi para sa TMG firewall ang naglalaman ng sarili nilang software sa pamamahala, minsan ay gumagamit ng HTTP server (halimbawa, IIS, Apache, atbp.). Problema ang naturang software dahil pinapataas nito ang attack surface ng TMG firewall at nagpapakilala ng mga potensyal na karagdagang attack vectors. Kung saan posible, hindi dapat i-install ang software ng pamamahala ng third party sa mismong TMG firewall. Ang software na ito ay dapat na naka-install sa hiwalay na sistema, mas mabuti sa isang workstation sa pamamahala ng TMG.

Huwag gumawa ng mga pampublikong folder sa firewall TMG- sa mga nakaraang bersyon ng ISA server, pagkatapos i-install ang produkto sa system, awtomatikong nilikha ang isang pampublikong folder para sa pakikipagpalitan ng data sa mga kliyente ng ITU. Ang opsyong ito ay inalis sa ibang pagkakataon mula sa produkto bilang hindi ligtas. Ang Firewall TMG ay isang firewall at wala nang iba pa. Hindi ito dapat gamitin bilang file server sa anumang sitwasyon. Kung kinakailangan malayuang pag-access sa system, halimbawa, upang makatanggap ng mga text log, dapat itong gawin gamit ang isang third-party na log utility gaya ng Epilog, ArcSight, o Splunk.

Huwag mag-install ng mga serbisyo sa imprastraktura sa Firewall TMG- hindi kailanman mag-install ng mga serbisyo sa imprastraktura tulad ng DNS, DHCP, Certificate Authority, atbp. sa TMG firewall Sa karamihan ng mga kaso, ang naturang pag-install ay magtatapos sa isang configuration na hindi suportado (http://technet.microsoft.com/ru-. ru/library/ ee796231.aspx). Ngunit kahit na ang configuration ay suportado, ang pagkakaroon ng mga naturang serbisyo sa TMG ay nagpapataas ng attack surface at nagpapakilala ng mga karagdagang attack vectors. Mangangailangan ang mga ganitong serbisyo higit pa mga update kumpara sa isang hiwalay na TMG, na magpapataas ng downtime ng system. Mangangailangan din ang mga serbisyong ito ng karagdagang mapagkukunan ng system (oras ng CPU, memorya, network at espasyo sa disk) at maaaring makaapekto sa katatagan ng system at pagganap ng firewall.

Konklusyon

Tamang na-configure, ang Forefront TMG, na tumatakbo sa pinakabagong bersyon ng isang secure na na-configure na Windows network operating system, ay isang secure at maaasahang firewall at secure na web gateway. Ang pangkalahatang antas ng seguridad ng solusyon ay maaaring mapabuti sa pamamagitan ng paggamit ng mga tip na nakabalangkas sa artikulong ito. Pagsunod sa prinsipyo ng hindi bababa sa pribilehiyo sa pamamagitan ng paglilimita sa pagiging miyembro sa mga tungkuling pang-administratibo ng TMG sa array at antas ng enterprise, gamit ang magkahiwalay na mga account sa isang nakahiwalay na workstation, nililimitahan ang membership sa remote na computer management network object, mga paghihigpit access sa network para sa mga ahente ng pamamahala ng TMG ay babawasan ang ibabaw ng pag-atake sa firewall ng TMG. Bukod pa rito, ang pag-aalis sa hindi ligtas na kasanayan sa paggamit ng TMG bilang isang workstation upang mag-install ng third-party na administratibong software, lumikha ng mga pampublikong folder, o mag-install ng mga serbisyo sa imprastraktura ay magbibigay ng higit na seguridad.

Ang materyal na ito ay praktikal na aplikasyon dalawang partikular na teknolohiya: Microsoft Hyper-V at Microsoft Forefront Threat Management Gateway, parehong inaalok ng Microsoft.

Teknikal na data.

Sa loob ng proyekto mayroong ISANG pisikal na server na may dalawang network card na sumusuporta sa teknolohiya ng virtualization. Sa loob ng balangkas ng artikulong ito, kinakailangan upang malutas ang problema ng pag-deploy ng isang demilitarized zone (DMZ) sa isang virtual network.

Bago i-install ang lahat mga produkto ng software Dapat mong basahin ang mga panuntunan sa paglilisensya, na magbibigay-daan sa iyong kalkulahin ang halaga ng pagmamay-ari ng software. Ang Microsoft License Agreement ay regular na ina-update at palaging available sa website ng Microsoft.

Stage 1 Pag-install ng operating system sa isang pisikal na server.

Nag-aalok ang Microsoft ng 2 pagpipilian sa virtualization:

1. Gamit ang Microsoft Hyper-V™ Server 2008 hypervisor.
   
2. C gamit ang Hyper-V server role bilang bahagi ng Microsoft Windows 2008 R2 Server.
   

Bilang bahagi ng artikulong ito, magpapakita kami ng isang opsyon gamit ang papel ng Hyper-V server.

Gamit ang hypervisor Microsoft Hyper-V™ Server 2008.

Naglabas ang Microsoft ng isang produkto na nagbibigay-daan sa iyong gawing virtual machine server ang isang pisikal na server nang hindi nag-i-install ng operating system (sa katunayan, ang operating system ay naka-install, ngunit ito ay dalubhasa para sa virtualization). Ang produkto ay tinatawag na Microsoft Hyper-V Server.

Upang pangasiwaan ito, dapat mong gamitin ang shell ng Hyper-V Manager, na maaaring mai-install sa Windows 7 at Windows Vista, o may kaalaman sa paggamit ng Powershell.

Ang Microsoft Hyper-V Server 2008 hypervisor ay nagbibigay ng kakayahang gumamit ng teknolohiya ng virtualization nang LIBRE, ngunit nangangailangan ng espesyal na kaalaman at kasanayan upang mapanatili at magamit karagdagang kagamitan, gaya ng mga tape drive o data storage system.

Gamit ang papel ng Hyper-V server bilang bahagi ng Microsoft Windows 2008 R2 Server.

Sa loob ng operating room Mga sistema ng Microsoft Ang Windows 2008 R2 ay mayroong Hyper-V na tungkulin na nagbibigay ng kakayahang lumikha ng mga virtual machine. Kasabay nito, sa isang pisikal na server posible na gumamit ng isang ganap na operating system, na magbibigay sa mga administrator ng kinakailangang kalayaan sa pagkilos.

Higit pang impormasyon tungkol sa pag-install ng Microsoft Hyper-V™ Server hypervisor at ang Hyper-V role ay matatagpuan sa website www.microsoft.ru.

Stage 2 Pamamahala ng virtual network infrastructure.

Sa kabila ng katotohanan na ang server ay pisikal, posible na huwag magtalaga ng mga address ng network sa mga pisikal na network card, na magsisiguro ng seguridad pisikal na server. Gayunpaman, ang kakulangan koneksyon sa network sa lokal na network ay hindi kasama ang malayuang pangangasiwa ng server kung saan naka-install ang papel na Hyper-V. Karaniwan, para sa pangangasiwa ng server, ang isang access IP address mula sa panloob na network ay itinalaga.

Magtalaga address ng network sa isang network card na konektado sa Internet ay hindi inirerekomenda, dahil walang mga paraan upang matiyak ang buong proteksyon ng pisikal na server.

Pinakamainam na i-configure ang iyong kasalukuyang imprastraktura ng network sa virtualization server. Dahil ang imprastraktura ng network na isinasaalang-alang ay isang tatlong-legged na imprastraktura (Internal - DMZ - External), kinakailangan na lumikha ng tatlong network, dalawa sa mga ito ay pisikal na itatalaga sa iba't ibang mga adapter ng network, at ang pangatlo ay virtual - para sa demilitarized sona. Ginagawa ito sa pamamagitan ng "Virtual Network Manager", tulad ng ipinapakita sa Figure 1.

Sa window ng "Virtual Network Manager", piliin ang "Gumawa virtual network" Piliin ang uri na "Panlabas" at i-click ang "Idagdag". Ang proseso ng paglikha ng network ay ipinapakita sa Fig. 2.

Sa loob ng balangkas ng nilikhang imprastraktura, kailangan nating lumikha ng 3 uri ng mga network: dalawa mga panlabas na network may koneksyon sa iba't ibang mga adaptor(koneksyon sa panloob na network at koneksyon sa provider) at isang pribadong network ng mga virtual machine (koneksyon sa mga server ng DMZ). Bilang resulta, makakakuha tayo ng tatlong network (Fig. 3.)

Stage 3. Paglikha ng mga virtual machine.

Kapag lumilikha ng mga virtual machine na matatagpuan sa demilitarized zone, dapat mong tukuyin ang nilikha na Virtual DMZ adapter. Ang default na gateway ay ang Microsoft Forefront Threat Management Gateway server. Ang pagsasaayos at kapasidad ng mga hard drive ay pinili batay sa mga gawain na itinalaga sa server.

Upang lumikha ng isang virtual machine, kailangan mong mag-right-click sa Hyper-V server at piliin ang "Lumikha - Virtual Machine". Pagkatapos nito ay magbubukas ang isang window ng imbitasyon.

Sa window na "Tukuyin ang pangalan at lokasyon", kailangan mong tukuyin ang pangalan at lokasyon ng configuration file virtual server(Larawan 4.).

Sa window na "Maglaan ng memorya" (Larawan 5), kailangan mong piliin ang laki ng RAM. Ang pinakamababang kinakailangan para sa Microsoft Forefront Threat Management Gateway ay 2GB ng RAM.

Sa window na "Mga Setting ng Network", pumili ng koneksyon sa panloob na network (Virtual Internal).

Sa window na "Kumonekta". virtual na mahirap disk" dapat mong piliin ang "Gumawa ng virtual hard disk". Tukuyin ang laki (para sa Microsoft Windows 2008 R2, hindi bababa sa 11 GB) (Larawan 7).

Sa window ng "Mga Pagpipilian sa Pag-install", piliin ang "I-install operating system mamaya" at i-click ang "Susunod" (Larawan 8).

Pagkatapos ng window na "Buod", i-click ang "Tapos na".

Bago magpatuloy sa Pag-install ng Windows 2008 R2 Server kailangan mong pumunta sa FOREFRONT virtual machine settings. I-right click Mag-click sa virtual machine - Mga Setting...

At sa window na "Mga Setting para sa FOREFRONT".

Sa window, piliin ang "Pag-install ng Hardware" - "Network Adapter" at i-click ang "Idagdag". Idagdag ang dalawang natitirang adapter, Virtual Internet at Virtual DMZ. Pagkatapos idagdag, magiging ganito ang configuration ng computer:

Pagkatapos nito, magpatuloy kami sa pag-install ng Microsoft Windows 2008 R2 Server.

Stage 4. Pag-install ng Microsoft Windows 2008 R2 Server.

Simulan natin ang pag-install ng Windows 2008 R2 Server. Nangangailangan ito ng disk image. Maaari itong i-download mula sa website ng Microsoft. Sa website na www.microsoft.ru makakahanap ka ng hard drive para sa mga virtual machine at palitan ito ng ginawa namin kanina.

Sa “Controller 1 IDE” itakda ang “Image file” at tukuyin ang lokasyon ng image file.

Simulan natin ang virtual machine.

Maaari mong isumite ang default na pag-install ng Microsoft Windows 2006 R2 at Microsoft ForeFront Threat Management Gateway. Tinutukoy namin ang mga adapter ng network at nagtatalaga kami ng mga IP address ayon sa configuration ng network. PANSIN! Isang Default Gateway lamang ang maaaring tukuyin sa isang computer. Kadalasan ito ay itinalaga sa default na gateway ng provider.

Stage 5. Pag-configure ng Microsoft Forefront Threat Management Gateway.

Pagkatapos ng paunang paglulunsad, lilitaw ang window na "Started Wizard". Maaari mo ring ilunsad ito sa pamamagitan ng "Ilunsad ang Pagsisimula Wizard"

Sa mga setting ng "Pagpili ng Template ng Network", piliin ang "3-Leg perimeter", na magbibigay-daan sa iyong limitahan at lumikha ng DMZ. I-click ang “Next”.

Sa window na "Local Area Network (LAN) Setting", piliin ang network adapter na nakakonekta sa panloob na lokal na network.

Sa window na "Internet Setting", piliin ang network adapter na nakakonekta sa provider.

Sa window na "Perimeter Network Setting", tinutukoy namin ang network adapter na nakakonekta sa mga server sa DMZ. Susunod, kailangan mong piliin ang uri ng tiwala para sa network na ito. Maaari itong maging Publiko, kapag ang pagruruta nang hindi gumagamit ng NAT ay iko-configure sa mga server na matatagpuan sa DMZ, o Pribado, kapag ang pagruruta ay iko-configure gamit ang NAT. Ang mode na ito ay tinutukoy ng antas ng tiwala sa DMZ network. Ganap na mapoprotektahan ng pribadong mode ang iyong network mula sa visibility mula sa DMZ, ngunit maaaring magkaroon ng mga problema sa pagse-set up ng mga panuntunan sa pag-access.

Ipinakita ng artikulong ito kung paano ka makakapag-set up ng 3-leg perimeter. Sa kasamaang palad, sa loob ng balangkas ng artikulong ito imposibleng ipakita ang buo Pag-setup ng Microsoft Forefront Threat Management Gateway para sa mga organisasyon, dahil ang bawat organisasyon ay magkakaroon ng sarili nitong mga panuntunan sa pag-access at mga relasyon sa pagitan ng mga network at user, na inilalarawan sa patakaran sa seguridad.

Vasiliev Denis

Ang isa sa mga tampok ng Forefront TMG ay suporta para sa maraming kliyente na ginagamit upang kumonekta sa Forefront TMG Firewall. Ang isang uri ng kliyente ay ang Microsoft Forefront TMG client, na kilala rin bilang Winsock client para sa Windows. Ang paggamit ng TMG client ay nagbibigay ng ilang mga pagpapabuti sa iba pang mga kliyente (Web proxy at Secure NAT). Ang Forefront TMG client ay maaaring i-install sa maramihang Windows client at server operating system (na hindi ko inirerekomenda maliban sa mga Terminal Server) na na-secure gamit ang Forefront TMG 2010. Ang Forefront TMG client ay nagbibigay ng HTTPS verification notification (ginamit sa TMG 2010), awtomatiko pagtuklas, pinahusay na seguridad, suporta sa aplikasyon at kontrol sa pag-access para sa mga computer ng kliyente. Kapag ang isang client computer na nagpapatakbo ng Forefront TMG client ay gumawa ng kahilingan sa Firewall, ang kahilingan ay ipapasa sa Forefront TMG 2010 computer para sa karagdagang pagproseso. Walang kinakailangang espesyal na imprastraktura sa pagruruta dahil sa pagkakaroon ng proseso ng Winsock. Malinaw na ipinapasa ng kliyente ng Forefront TMG ang impormasyon ng user sa bawat kahilingan, na nagbibigay-daan sa iyong lumikha ng patakaran sa firewall sa Forefront TMG 2010 na computer na may mga panuntunang gumagamit ng mga kredensyal na ipinadala ng kliyente, ngunit sa trapiko lamang ng TCP at UDP. Para sa lahat ng iba pang protocol dapat kang gumamit ng Secure NAT client connection. Para sa listahan ng mga dahilan para gamitin ang TMG client, basahin ang Tom Shinder sa www.ISAserver.org:

Bilang karagdagan sa mga karaniwang pag-andar mga nakaraang bersyon Mga kliyente ng firewall, sinusuportahan ng kliyente ng TMG:

• Mga abiso sa inspeksyon ng HTTPS
• Suporta sa AD Marker

Karaniwang Mga Tampok ng Kliyente ng TMG

• Patakaran sa firewall na nakabatay sa user o grupo para sa mga proxy sa Web at hindi Web sa TCP at UDP protocol(para lamang sa mga protocol na ito)
• Sinusuportahan ang mga kumplikadong protocol nang hindi nangangailangan ng filter ng TMG application
• Pinasimpleng pag-setup ng pagruruta para sa malalaking organisasyon
• Auto Discovery ng TMG-based na impormasyon Mga setting ng DNS at DHCP server.

Mga Kinakailangan sa System

Ang kliyente ng TMG ay may ilang mga kinakailangan sa system:

Sinusuportahang OS

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Mga sinusuportahang bersyon ng ISA Server at Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Suporta sa operating system

Client/Server – Pagkakatugma

Mga setting ng TMG client sa TMG server

Mayroon lamang ilang mga setting sa Forefront TMG server na kumokontrol sa kung paano kumikilos ang Forefront TMG client. Una sa lahat, maaari mong paganahin ang suporta sa kliyente ng TMG upang tukuyin ang panloob na network sa TMG server, tulad ng ipinapakita sa figure sa ibaba.

Figure 1: Mga setting ng TMG client sa TMG

Kapag pinagana ang suporta sa kliyente ng TMG (ito ang default kapag normal na pag-install TMG), maaari mo ring i-automate ang configuration ng web browser sa mga computer ng kliyente. Sa mga normal na agwat ng pag-refresh ng kliyente ng TMG o sa panahon ng pagsisimula ng serbisyo, natatanggap ng browser ang mga setting na na-configure sa TMG management console.

Sa mga setting ng Application sa TMG client sa TMG console, maaari mong paganahin o huwag paganahin ang ilang mga setting ng dependency ng application.

Figure 2: Mga setting ng TMG client

Marker ng AD

Nagbibigay ang Microsoft Forefront TMG ng bagong feature awtomatikong pagtuklas TMG server para sa TMG client. Hindi tulad ng mga nakaraang bersyon ng mga kliyente ng Firewall, ang Forefront TMG client ay maaari na ngayong gumamit ng marker sa Active Directory upang mahanap ang kaukulang TMG server. Gumagamit ang TMG client ng LDAP upang hanapin ang kinakailangang impormasyon sa Active Directory.

Tandaan: kung hindi mahanap ng TMG client ang AD token, hindi ito lilipat sa klasikong pamamaraan awtomatikong pagtuklas sa pamamagitan ng DHCP at DNS para sa mga kadahilanang pangseguridad. Ginagawa ito upang mabawasan ang panganib ng isang sitwasyon kung saan sinusubukan ng isang umaatake na pilitin ang isang kliyente na gumamit ng mas kaunti ligtas na paraan. Kung ang koneksyon ng Active Directory ay maaaring gawin ngunit ang AD Marker ay hindi mahanap, ang mga kliyente ng TMG ay babalik sa DHCP at DNS.

TMGADConfig tool

Upang lumikha ng configuration ng AD Marker sa Active Directory, maaari mong i-download ang TMG AD Config tool mula sa Microsoft Download Center (kailangan mong hanapin ang AdConfigPack.EXE). Pagkatapos i-download at i-install ang tool sa TMG, kailangan mong patakbuhin ang sumusunod na command sa interpreter upang idagdag ang AD token key sa registry key:

Tmgadconfig magdagdag ng "default "type winsock "url http://nameoftmgserver.domain.tld:8080/wspad.dat

Maaari mo ring alisin ang AD marker gamit ang tmgadconfig tool kung magpasya kang huwag gumamit ng AD Marker support.

Pag-install ng TMG client

Karamihan pinakabagong bersyon Maaaring ma-download ang TMG client mula sa website ng Microsoft. Sa dulo ng artikulo ay nagbigay ako ng mga link sa pag-download.

Simulan ang proseso ng pag-install at sundin ang mga tagubilin ng wizard.

Figure 3: Pag-install ng TMG client

Maaari mong tukuyin ang lokasyon ng TMG server nang manu-mano, o awtomatiko sa panahon ng proseso ng pag-install ng TMG client. Pagkatapos ng pag-install, maaari mong muling i-configure ang mga setting ng detection engine sa TMG client gamit ang TMG Client Configuration Tool, na matatagpuan sa taskbar ng iyong client.

Figure 4: Pagpili ng isang computer upang i-install ang TMG client

Advanced na awtomatikong pagtuklas

Kung gusto mong baguhin ang gawi ng proseso ng auto-detection, mayroon na ngayong bagong opsyon ang TMG client para i-configure ang paraan ng auto-detection.

Figure 5: Advanced na Auto Detection

Mga Notification sa Pag-inspeksyon ng HTTPS

Ang Microsoft Forefront TMG ay may bagong feature para sa pag-inspeksyon sa trapiko ng HTTPS para sa mga papalabas na koneksyon ng kliyente. Upang ipaalam sa mga user ang tungkol sa prosesong ito, maaaring gamitin ang bagong TMG client upang ipaalam sa mga user na ang mga papalabas na koneksyon sa HTTPS ay sinisiyasat kung kailangan mo ito. Ang mga administrator ng TMG ay mayroon ding opsyon na i-disable ang proseso ng notification sa gitnang bahagi mula sa TMG server, o manu-mano sa bawat Forefront TMG client. Para sa higit pang impormasyon sa pag-set up ng inspeksyon ng papalabas na trapiko ng HTTPS, basahin ang sumusunod ni Tom Shinder

Figure 6: Pag-inspeksyon sa Mga Secure na Koneksyon

Kung pinagana ang pag-inspeksyon ng koneksyon sa papalabas na HTTPS at pinagana rin ang opsyong ipaalam sa mga user ang tungkol sa prosesong ito, ang mga user na may naka-install na Forefront TMG client sa kanilang mga computer ay makakatanggap ng mensaheng katulad ng ipinapakita sa figure sa ibaba.