Люблю нові речі, і я рада уявити вам новий продукт: Microsoft Threat Management Gateway 2010 EE RTM. У цій статті ми спочатку розглянемо, як встановлювати TMG 2010 EE RTM.

Звичайно, справжньою початковою стадією є планування, в якому ви визначаєте, які будуть вимоги до апаратного обладнання, і яку роль гратиме брандмауер TMG у вашій мережі. Однак якщо ви не знайомі з брандмауером TMG, вам потрібно буде просто встановити його і подивитися, що він є і як виглядає. Планування можна відкласти, якщо ви вирішите, що вам подобається те, що ви побачите, і про це поговоримо в наступних статтях. А в цій серії із двох частин ми поговоримо про процес встановлення та виділимо потенційні проблеми, з якими ви можете зіткнутися під час цього процесу.

Тож почнемо!

Як завжди, як перший крок необхідно переконатися в тому, що ваше апаратне обладнаннявідповідає мінімальним системним вимогам, які можна знайти.

Багато хто з вас буде виконувати цю установку з метою тестування та оцінки продукту. Тому ми встановимо RTM версію брандмауера TMG на віртуальну машину, і ця віртуальна машина буде оснащена двома мережевими інтерфейсами:

• Зовнішній інтерфейс, який підключений мостом до виробничої мережі, що забезпечує вихід в інтернет, та
• Внутрішній інтерфейс, який забезпечує підключення лише до інших віртуальних машин.

У цьому прикладі єдина віртуальна машина буде контролером домену, і брандмауер TMG належить до того ж домену, що й контролер домену.

Це буде чисте встановлення. Єдине, що ми зробили перед інсталяцією, приєднали віртуальну машину TMG до домену, а потім встановили оновлення Windows. Я не встановлювала жодних компонентів Exchange чи іншого програмного забезпечення. Нашою метою буде те, що зроблять більшість адміністраторів – встановлення програмного продукту в «штатній» конфігурації, після чого ми постараємося налаштувати його так, щоб він виконував всі необхідні нам функції, щоб можна було краще познайомитись із цим продуктом.

Примітка:перед тим, як розпочати процес встановлення, вам потрібно знати конфігурацію DNS на мережевих картах віртуальної машини TMG. Оскільки ви ніколи (або майже ніколи) не включаєте ніяких зовнішніх DNS серверів у налаштування мережевих карт брандмауера, я налаштувала зовнішній інтерфейсбез жодних параметрів DNS, а внутрішній інтерфейсз IP адресою внутрішньої DNS сервераякий також є контролером домену. Це викликає деякі складнощі, про які я розповім пізніше, коли ми з ними зіткнемося.

Ось проста схемамережі, з якою я в Наразіпрацюю у цій статті:

Схема 1

Першим кроком буде завантаження пробної версії програми. В даний час TMG недоступний на MSDN, але ви можете завантажити пробну версіюзвідси.

Після завантаження файлу двічі натисніть на ньому і він розпакується. Після розпакування файлів ви побачите вітальну сторінку Welcome to Microsoft Forefront TMG. Вона виглядає дещо інакше порівняно з тим, що ми бачили у брандмауері ISA, і вона включає декілька нових опцій. Зверніть увагу на розділ Підготовка та встановлення (Prepare and Install)- Тепер ви можете виконати оновлення Windowsна цій сторінці встановлення. Ми вже зробили це, тож нам це не потрібно. Ще однією новою опцією є Запуск інструменту підготовки (Run Preparation Tool), і ним ми скористаємося. Вибираємо цю опцію.

Цілком очевидно, що розробники TMG користувалися великими моніторамипід час створення цього інтерфейсу. Діалогові вікнавеликі. Думаю, що це зручно для розробників та користувачів, проте незручно для письменників статей, які мають горизонтальний простір для створення знімків екранів.

На сторінці Welcome to the Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG)натискаємо Далі.

На сторінці відзначаємо опцію Я приймаю умови ліцензійної угоди (I accept the terms of the License Agreements)і тиснемо Далі. Тут ви приймаєте умови ліцензійної угоди для Microsoft Chart Controls for Microsoft .NET Framework 3.5 та 3.5 SP1і Microsoft Windows Installer 4.5.

На сторінці вибору типу установки Installation Typeу вас є три опції:

• Служби та управління (Forefront TMG services and Management)
• Тільки керування (Forefront TMG Management only)
• Сервер управління підприємства для централізованого управління масивом (EMS) for centralized array management

Новий TMG значно полегшує роботу з TMG EE на відміну від складнощів управління EE у брандмауері ISA. Саме з цієї причини в даній статті ми встановимо версію EE" щоб показати вам простоту установки EE. Пізніше ми створимо окремий масив, після чого ми приберемо окремий масив і встановимо масив підприємства. Це просто і весело! Але спочатку, давайте розберемося з основами і виберемо опцію Forefront TMG послуги та управління. Натискаємо Далі.

Малюнок 4

На сторінці Підготовка системи (Preparing System)ви побачите прогрес встановлення попередньо необхідного програмного забезпечення.

На сторінці завершення підготовки Preparation Completeбуде показано, що попередньо необхідне було успішно встановлено.

Малюнок 6

Тепер відкриється сторінка Welcome to the Installation Wizard for Forefront TMG Enterprise. Натискаємо Далі, щоб розпочати встановлення TMG EE.

Малюнок 7

На сторінці Ліцензійна угода (License Agreement)вибираємо опцію Я приймаю умови ліцензійної угоди (I accept the terms in the license agreement)та натискаємо Далі.

Малюнок 8

Введіть свою інформацію (ім'я користувача, назву організації та серійний номер продукту) на сторінці інформації споживача Customer Information, а потім натисніть Далі.

Малюнок 9

На сторінці вказівки шляху встановлення Installation Pathви можете скористатися за замовчуванням або вибрати власне місцеустановки, вказавши шлях до папки, до якої хочете встановити продукт TMG. У даному прикладіми скористаємось замовчуваннями та натиснемо Далі.

Малюнок 10

А ось тут на нас чекає пережиток минулого – сторінка вказівки внутрішньої мережі Define Internal Network. У брандмауері TMG, як і в його попередника ISA, основна внутрішня мережа (default Internal Network) буде тим місцем, де розміщуватимуться основні сервіси вашої інфраструктури; сюди входить Active Directory, DNS, DHCP та WINS. Ви можете змінити цю визначення пізніше, якщо захочете, але нам потрібен доступ до цих ресурсів під час встановлення, тому нам доведеться визначити основну внутрішню мережу зараз.

Натисніть кнопку Додати (Add)на сторінці Define Internal Network. Це викликає діалогове вікно Адреси (Addresses). Існує кілька способів додавання адрес основної внутрішньої мережі, але я волію використовувати спосіб додавання адаптера (Add Adapter). Натискаємо Додати адаптер (Add Adapter).

Малюнок 11

У діалоговому вікні вибору мережного адаптера (Select Network Adapters)вибираємо мережеву карту локальної мережі LAN, а потім поставити прапорець для цієї карти. Необхідно переконатися, що інформація в розділі подробиць адаптера мережі (Network adapter details)точно відповідає тим параметрам, які задані для вибраної мережної карти. Потім натискаємо OK.

Малюнок 12

Адреси, призначені для внутрішньої мережної карти, тепер будуть відображені у текстовому полі Адреси (Addresses). Ці адреси засновані на записах таблиці маршрутизації брандмауера – якщо ви ще не налаштували записи таблиці маршрутизації на своєму брандмауері, ці адреси будуть не повністю коректними, але це можна буде виправити пізніше, і ми розглянемо цю проблему.

Малюнок 13

Малюнок 14

Як і у випадку з встановленням брандмауера ISA, під час встановлення TMG також потрібно буде перезапустити або вимкнути деякі служби. До них належать такі служби:

• SNMP служба
• Служба IIS Admin
• Служба публікації WWW Publishing Service
• Microsoft Operations Manager Service

Примітка: TMG не каже, що ці служби встановлені " він просто каже, що якщо ці служби встановлені, вони будуть відключені та перезапущені.

Малюнок 15

Натискаємо Встановитина сторінці Ready to Install the Program.

Малюнок 16

Шкала прогресу показуватиме вам стан процесу встановлення.

Малюнок 17

Потім відкриється ще одне діалогове вікно і покаже вам скільки часу займе цей процес. Зауважте, що це приблизні цифри; незважаючи на цифри, які ви тут побачите, процес встановлення у мене зайняв майже 30 хвилин. Це може бути пов'язано з проблемами DNS, які ми обговоримо пізніше.

Малюнок 18

Тепер майстер установки Installation Wizardзавершив роботу, і ви, можливо, вирішите, що все готове. У версії ISA це було так. Наступним кроком був перехід у консоль брандмауера ISA та налаштування мереж, правил доступу та інших компонентів для коректної роботипрограми. Однак у TMG процес не зовсім закінчений.

Якщо ви оберете опцію Запустити керування (Launch Forefront TMG Management)після закриття майстра установки, з'явиться ще три майстри, які дозволяють виконати всі налаштування для роботи брандмауера після установки.

Малюнок 19

Оскільки ці майстри нові, а у нас закінчується допустимий обсяг символів для цієї статті, ми розглянемо нові майстри установки в наступній частині циклу. Сподіваюся, ви чекатимете продовження.

Висновок

У цій статті ми почали з роз'яснення того, що встановимо новий брандмауер TMG 2010 EE у простій конфігурації. Єдиними параметрами на віртуальній машині брандмауера TMG були установки DNS, і брандмауер був приєднаний до домену, перш ніж встановлювати програмний продуктбрандмауер. Потім ми розпочали процес встановлення, налаштували основну внутрішню мережу та завершили роботу майстра установки. У наступній частині циклу ми завершимо процес встановлення брандмауера, розглянувши три нові майстри, які містяться на сторінці Getting Started Wizard.

Published on Лютий 13, 2009 by · Один коментар

Якщо ви ще не чули, то ISA Firewall поступово виходить із виробництва. Останньою версією ISA Firewall буде версія ISA 2006. Однак це не означає, що ISA, яке ми полюбили за кілька років його використання, зовсім перестане існувати. Хоча бренд ISA потрапить у кошик для сміття, ми побачимо наступну версію ISA Firewall з новою назвою: Forefront Threat Management Gateway (шлюз управління зовнішніми загрозами).

Існує кілька причин, через які назва ISA виходить із вживання. Але, ймовірно, основна причина полягає в тому, що громадськості, здається, не вдавалося з'ясувати назви, що являє собою ISA Firewall. Деякі вважали, що це був просто веб-проксі-сервер (у дусі Proxy 2.0), інші думали, що це черговий брандмауер, треті вважали його VPN сервером, четверті вважали, що це якийсь Франкенштейн чи взагалі нічого не розуміли. Нова назва має звернути на Forefront TMG більше уваги, і, як сподіваються у компанії, дозволить людям зрозуміти основне завдання цього продукту.

У цій статті я розповім вам про процес встановлення. Однак, перш ніж встановлювати TMG, вам потрібно знати наступне:

• TMG працюватиме лише на 64-розрядній Windows Server 2008. Після випуску RTM версії, з'явиться 32-розрядна демо-версія TMG, але не буде ніяких бета-версій для 32-розрядної Windows
• TMG вимагає як мінімум 1 GB пам'яті (можливо, вона працюватиме і з меншим об'ємом пам'яті, але дуже повільно)
• 150 MB вільного місцяна диску
• за Крайній міріодну мережеву карту (хоча я завжди рекомендував два або більше мережевих адаптерів для забезпечення більшої надійності)
• Вам потрібно встановити стандартну папку на диск C:
• TMG встановить IIS 7 на вашу машину, щоб підтримувати служби звітів SQL. Якщо ви видалите TMG з машини, II7 не буде видалено автоматично, тому вам доведеться робити це вручну
• Служби та файли драйверів для TMG встановлюються в інсталяційну папку TMG
• Для версії beta 1 TMG машина TMG повинна входити до складу домену. У наступних бета версіях підтримуватимуться машини, що не належать до доменів.

У цій серії статей (ми повинні вкластися в дві частини) я встановлюю TMG на Windows Server 2008 Enterprise, яка працює як віртуальна машина (VM) на VMware Virtual Server 1.0. VM має два інтерфейси: один інтерфейс підключений через міст до зовнішньої мережі та працюватиме як зовнішній інтерфейс, а другий інтерфейс розташований на VMNet2, яка буде інтерфейсом внутрішньої мережі за умовчанням. Зверніть увагу, що модель побудови мережі для TMG не змінилася порівняно з конфігурацією ISA Firewall.

TMG є одним із елементів ПЗ, включених до колекції продуктів Forefront Stirling. Ви можете скачати їх усі або тільки TMG. TMG буде відмінно працювати без Stirling, але Stirling - це безумовно те, про що ви захочете дізнатися в майбутньому.

Двічі натисніть на файл, який ви завантажили. У вас відкриється вітальна сторінка Ласкаво просимо до майстрів установки Forefront Threat Management Gateway. Натисніть Далі.

Малюнок 1

Встановіть файли в місце за промовчанням, яким буде . Натисніть Далі.

Малюнок 2

Файли будуть вилучені до цієї папки.

Малюнок 3

Натисніть Завершитиколи процес вилучення закінчиться.

Малюнок 4

Перейдіть до папки C:\Program Files (x86)\Microsoft ISA Serverта двічі натисніть на файлі ISAAutorun.exe.

Малюнок 5

У вас відкриється діалогове вікно Microsoft Forefront TMG 270-Day Evaluation Setup. Натисніть на посилання Встановити Forefront TMG.

Малюнок 6

Це викличе вітальне вікномайстри установки Welcome to the Installation Wizard for Microsoft Forefront Threat Management Gateway. Натисніть Далі.

Малюнок 7

На сторінці Ліцензійну угодувиберіть опцію Я приймаю умови ліцензійної угодита натисніть Далі. Зверніть увагу на те, що ліцензійну угодувсе ще містить стару кодову назву продукту Nitrogen.

Малюнок 8

На сторінці Інформація споживачавведіть ваше Ім'я користувачаі Організації. Серійний номерпродуктубуде вже запроваджено за вас. Натисніть Далі.

Малюнок 9

Тут ми зустрічаємо нову опцію установки, яка не була доступна у попередніх версіях продукту. На сторінці Сценарії установкиу вас є можливість встановити Forefront TMG або лише консоль управління TMG. У цьому прикладі ми будемо встановлювати продукт повністю, тому виберемо Встановити Forefront Threat Management Gatewayі натиснемо Далі.

Малюнок 10

На сторінці Вибір компонентіву вас є можливість встановити програмне забезпеченнябрандмауера TMG, консоль управління TMG, та CSS. Так, ви здогадалися. Більше немає версій Standardта Enterprise брандмауера ISA. TMG буде продаватися як єдине видання, і це єдине видання використовує CSS, навіть якщо у вас є масив ТMG тільки з одним членом. Однак ви зможете створювати масиви, використовуючи TMG, але ця функція недоступна в бета-версії TMG і буде доступна тільки в наступних бета-версіях.

У цьому прикладі ми встановимо всі компоненти в стандартну папку. Натисніть Далі.

Малюнок 11

Схоже, що у мене виникла проблема. Хоча машина і входить до домену, я забув увійти під ім'ям користувача, який належить домену. Щоб встановити TMG, ви повинні увійти під ім'ям користувача, який має права локального адміністраторамашиною TMG.

Малюнок 12

Здається мені доведеться перезапускати установку. Ми продовжимо з того місця, на якому зупинилися, після того, як вийду з системи, знову зайду під потрібною обліковим записомі перезапустити процес установки.

Малюнок 13

Тепер, коли я увійшов під ім'ям користувача домену з правами локального адміністратора, ми продовжимо процес встановлення зі сторінки Внутрішня мережа. Якщо ви встановлювали ISA Firewall, ви дізнаєтеся про цю сторінку, оскільки вона схожа на ту, що використовувалася в попередніх версіях ISA Firewall. Тут ви вказуєте внутрішню мережу за промовчанням. У більшості випадків вам потрібно вибрати опцію Додати адаптероскільки це визначить вашу стандартну внутрішню мережу на основі таблиці маршрутизації, налаштованої на ISA Firewall. Однак я не знаю, якщо змінити конфігурацію таблиці маршрутизації на ISA Firewall, чи автоматично зміниться визначення стандартної внутрішньої мережі. Ставлю 25 доларів, що ні, але краще ми перевіримо це в майбутньому.

Малюнок 14

Сторінка Внутрішня мережапоказує визначення внутрішньої мережі за промовчанням. Натисніть Далі.

Малюнок 15

Сторінка Попередження службиінформує вас про те, що Служба SNMP, Служба адміністрування IIS, Служба публікації World Wide Web Publishing Serviceі Служба Microsoft Operations Managerбуде перезапущено під час процесу встановлення. Швидше за все, ви ще не встановили роль веб-сервера на цю машину, тому вам немає потреби турбуватися про служби IIS Admin Service і World Wide Web Publishing Service, але ви повинні бути в курсі перезапуску служб SNMP та Microsoft Operation Manager Service. Пам'ятайте, TMG встановить та налаштує IIS 7 за вас.

Малюнок 16

Натисніть Встановитина сторінці Майстер готовий встановити програму.

Малюнок 17

Рядок прогресу відображатиме статус установки. Тут видно, як встановлюється CSS.

Малюнок 18

Вийшло! Сторінка Робота майстра установки завершенапоказує, що процес встановлення успішно завершено. Ставте прапорець навпроти рядка Запустити Forefront TMG Management після завершення інсталяції. Натисніть Завершити.

Малюнок 19

на даному етапіви побачите веб сторінку Захистити сервер Forefront TMG. Тут вам надана інформація про включення Microsoft Update, запуску ISA BPA, та читанні розділу Захист та безпекафайлу допомоги. Поки що я можу сказати про файл допомоги одне, виробники проробили відмінну роботущодо оновлення його змісту. Він містить набагато більше інформації, причому інформації, набагато більше наближеної до реальним умовамустановки, включеної до нового вдосконаленого файлу допомоги. Я рекомендую вам витратити деякий час на його прочитання. Я гарантую вам, що якщо ви є досвідченим адміністратором ISA Firewall, файл допомоги TMG дасть вам багато нового.

Малюнок 20

Після завершення первинної установки, у вас відкриється новий майстер Getting Started Wizard. Майстер Getting Started Wizard є новим компонентом, який представлений лише для TMG та був відсутній у попередніх версіях ISA Firewall. Він включає три базові майстри, і необов'язкового четвертого, якого ми розглянемо після того, як розберемося з першими трьома.

Перший майстер – це Майстер параметрів мережі. Перейдіть за посиланням Налаштувати параметри мережіна сторінці Getting Started Wizard.

Малюнок 21

На сторінці Ласкаво просимо до майстрів налаштування мережінатисніть Далі.

Малюнок 22

На сторінці Вибір мережевих шаблонівВиберіть мережний шаблон, який Ви бажаєте застосувати до TMG. Це ті самі мережеві шаблони, які використовувалися на попередніх версіях ISA Firewall. Натисніть на кожній опції та прочитайте інформацію, показану в нижній частині сторінки.

У цьому прикладі ми будемо використовувати вподобаний шаблон, яким є шаблон Edge firewall. Натисніть Далі.

Малюнок 23

На сторінці Установки локальної мережі (LAN)Ви можете налаштувати інформацію IP адресації для інтерфейсу локальної мережі. Спочатку ви обираєте NIC ( мережева карта), яку ви хочете зробити інтерфейсом LAN на ISA Firewall шляхом натискання в навігаційне менюна рядок Мережевий адаптер, підключений до LAN. Інформація IP-адресації для цього NIC з'явиться автоматично. Тут можна змінювати інформацію IP адресації. Ви також можете створити додаткові статичні маршрути, натиснувши кнопку Додати.

Я правда не знаю, які зміни на цій станиці будуть відповідними для визначення внутрішньої мережі за умовчанням. Припустимо, я вирішив налаштувати стандартну внутрішню мережу на 10.0.0.0-10.0.0.255, а потім вирішив змінити IP-адресу на внутрішньому інтерфейсі на цій сторінці з тим, щоб він опинився на іншому мережевому ID. Чи зміниться внутрішня мережа за замовчуванням? Що якщо я додам статичний маршрут на внутрішньому інтерфейсі TMG? Чи буде ця зміна відображена у визначенні внутрішньої мережі за промовчанням? Я не знаю, але маю намір провести деякі дослідження в майбутньому.

Я не вноситиму жодних змін на цій сторінці, оскільки я вже налаштував внутрішній інтерфейс і необхідну інформацію IP адресації. Натисніть Далі.

Малюнок 24

На сторінці Параметри ІнтернетуВи можете налаштувати інформацію IP адресації для зовнішнього інтерфейсу TMG Firewall. Як і на попередня сторінка, ви обираєте NIC, яку ви хочете зробити зовнішнім інтерфейсом, вибравши в меню навігації рядок Мережевий адаптер, підключений до Інтернету. Ви також можете змінити інформацію IP адресації. Оскільки я вже налаштував зовнішній інтерфейс та інформацію IP адрес, то не вноситиму тут жодних змін. Тиснемо Далі.

Малюнок 25

На сторінці Завершення роботи майстра налаштування мережіпоказані результати внесених змін. Натисніть Завершити.

Малюнок 26

Ви опинитеся назад на сторінці Getting Started Wizard. Наступний майстер – це Майстер налаштування параметрів системи. Перейдіть за посиланням Налаштувати параметри системи.

Малюнок 27

Малюнок 28

На сторінці Ідентифікація хоставам буде поставлено питання про ім'я хоста та доменну приналежність брандмауера TMG. У цьому прикладі майстер автоматично визначив ім'я хоста машини, яким є TMG2009. Майстер також визначив приналежність доменної машини. Вважаю, що цей майстер дозволить вам приєднатися до домену, якщо ви ще не зробили цього, або залишити домен, якщо ви забажаєте. Також, якщо машина належить робочій групі, у вас буде можливість ввести первинний суфікс DNS, який ISA Firewall зможе використовувати для реєстрації вашого домену DNS, якщо у вас активований DDNS і вам не потрібні надійні оновлення DDNS.

Оскільки я вже налаштував цю машину як член домену, мені не потрібно вносити жодних змін на цій сторінці. Натискаємо Далі.

Малюнок 29

На цьому робота з Майстром конфігурації системизакінчено. Тиснемо Завершитина сторінці завершення роботи майстра Completing the System Configuration Wizard.

Малюнок 30

У нас залишився ще один майстер на сторінці Getting Started Wizard. Перейдіть за посиланням Визначити опції встановлення.

Малюнок 31

Малюнок 32

На сторінці Налаштування Microsoft Updateу вас є опції Використовувати службу Microsoft Update для пошуку оновленьі Я не хочу використовувати службу Microsoft Update Service. Зверніть увагу на те, що TMG використовує службу Microsoft Update не тільки для оновлення ОС і програмного забезпечення брандмауера TMG, але і для перевірки наявності шкідливого програмного забезпечення, причому робить він це кілька разів на день (за замовчуванням, кожні 15 хвилин). Оскільки однією з основних переваг використання брандмауера Microsoftперед іншими брандмауерами є його відмінна функція автоматичного оновлення, то ми продовжимо і будемо використовувати сайт Microsoft Update. Натискаємо Далі.

Малюнок 33

На сторінці Визначення параметрів оновленняви вказуєте, чи ви хочете, щоб брандмауер TMG шукав та встановлював, просто шукавабо не робив нічогодля поновлення огляду на шкідливе ПЗ. Ви також можете встановлювати частоту огляду, яка за замовчуванням має значення, кожне 15 хвилин. Але ви можете встановити значення завантаження оновлень щодня, а потім налаштувати час дня, коли ці оновлення встановлюватимуться. Натисніть Далі.

Малюнок 34

На сторінці Зворотній зв'язокзі споживачемможна вказати, чи хочете ви надати анонімну інформацію компанії Microsoft про конфігурацію вашого обладнання та використання продукту. Ніяка інформація, передана Microsoft, не може бути використана для визначення вашої особи, а також жодна Особиста інформаціяне передається компанії Microsoft. Вважаю, що мені потрібно вказати своє ім'я, дату народження, номер соціального страхування, ліцензійний номер драйвера та адресу свого банку, а компанії Microsoft я довіряю набагато більше, ніж своєму банку, якщо врахувати вимоги до банків передавати інформацію федеральному уряду. Тому передача цієї технічної інформації компанії Microsoft не становить жодної небезпеки, і допомагає їй створювати свою продукцію більш стабільною та надійною. Виберіть опцію Так, я хочу анонімно брати участь у програмі Customer Experience Improvement (рекомендується).

Малюнок 35

На сторінці Служба телеметрії Microsoft Ви можете налаштувати рівень належності до служби телеметрії Microsoft. Служба Microsoft Telemetry допомагає захиститися від зловмисного програмного забезпечення та несанкціонованого доступу шляхом надання компанії інформації про потенційні атаки, яку компанія Microsoft використовує, щоб допомогти визначити тип атаки та покращити точність та ефективність зниження загроз. В деяких випадках особиста інформація може бути необережною надіслана Microsoft, однак компанія не буде використовувати цю інформацію, щоб визначити вашу особу або зв'язатися з вами. Важко визначити, яка саме особиста інформація може бути надіслана, але оскільки звик довіряти компанії Microsoft, я оберу опцію Приєднатися до підвищеного рівня приналежності. Натискаємо Далі.

Малюнок 36

На сторінці Завершення роботи майстра установкипоказані вибрані параметри. Натискаємо Завершити.

Малюнок 37

От і все! Ми закінчили роботу з майстром Getting Started Wizard. Але це не означає, що все закінчено. Якщо ви позначите опцію Запустити майстри веб-доступу, то відчиниться вікно цього майстра. Давайте відзначимо цю опцію та подивимося, що станеться.

Малюнок 38

У нас відкриється вітальне вікно майстра Welcome to the Web Access Policy Wizard. Оскільки це новий спосібстворення політики брандмауера TMG, гадаю, ми зачекаємо до наступної частини, щоб докладно розглянути цього майстра. Здається, TMG дозволить вам налаштовувати політику веб-доступу трохи інакше, ніж у попередніх версіях ISA Firewall, тому ми присвятимо цьому наступну частину.

Малюнок 39

Тепер, коли установку завершено, у нас з'явилася нова консоль. Якщо ви подивіться на ліву панельконсолі, то побачите, що в ній відсутні вкладки, що трохи полегшує процес навігації. Також ми бачимо нову вкладку Центр оновлень. Звідси ви можете отримати інформацію про оновлення служби захисту проти шкідливого програмного забезпечення TMG, і дізнатися, коли встановлювалися ці оновлення.

Малюнок 40

Після завершення процесу встановлення я виявив, що були деякі помилки. Але це, мабуть, пов'язане з тим, що TMG взагалі не працював після встановлення. Я зміг вирішити цю проблему шляхом перезавантаження комп'ютера. Я не впевнений, чи це було пов'язано з тим, що брандмауер TMG встановлювався на віртуальний сервер VMware, або з тим, що це версія бета.

Малюнок 41

Звертаючи увагу на Первинні завдання налаштування, можна помітити, що кілька ролей і служб було встановлено на цей комп'ютер, як частина установки TMG. Сюди входять:

Резюме

У цій статті ми розглянули процес встановлення брандмауера TMG. Тут були деякі зміни, порівняно з попередніми версіями ISA Firewall, але нічого надприродного. Це нормально, установка – це не той процес, від якого чекаєш чогось дивовижного. Ми бачили кілька чудових покращень у процесі установки, які надають додаткової гнучкості під час налаштування.

Якщо ви витратите ще трохи часу на розгляд брандмауера TMG після встановлення, і не знайдете жодної риси, яку очікували знайти, не варто турбуватися. Це дуже рання бета версія, і я вважаю, що вона далека від завершення. Я знаю, що були запити на дюжини інших характеристик, коли була випущена версія ISA 2000. Хоча іноді перші враження тривалі, я не хочу бути причиною вашого першого враження від TMG. Пам'ятайте, що це лише перша бета версія, тому слід очікувати безлічі нових параметрів і характеристик у майбутньому, які можуть зробити вас щасливими. Дякую!

Однією з функцій Forefront TMG є підтримка кількох клієнтів, які використовуються для підключення до Forefront TMG Firewall. Одним із типів клієнтів є Microsoft Forefront TMG клієнт, також відомий під назвою Winsock клієнт для Windows. Використання TMG клієнта надає кілька вдосконалень, порівняно з іншими клієнтами (Web proxy та Secure NAT). Forefront TMG клієнт може бути встановлений на кілька клієнтських та серверних ОС Windows (що я не рекомендую робити за винятком серверів терміналів (Terminal Servers)), які захищені за допомогою Forefront TMG 2010. Forefront TMG клієнт надає повідомлення HTTPS перевірки (використовуваної TMG 2010) , автоматичне виявлення, покращену безпеку, підтримку програм та керування доступом для клієнтських комп'ютерів. Коли клієнтський комп'ютер з працюючим клієнтом Forefront TMG робить Firewall запит, цей запит надсилається на Forefront TMG 2010 комп'ютер для подальшої обробки. Жодної спеціальної інфраструктури маршрутизації не потрібно через наявність процесу Winsock. Клієнт Forefront TMG прозоро надсилає інформацію користувача з кожним запитом, дозволяючи вам створювати політику брандмауера на комп'ютері Forefront TMG 2010 з правилами, які використовують облікові дані, що надсилаються клієнтом, але тільки за TCP та UDP трафіку. Для всіх інших протоколів необхідно використовувати Secure NAT клієнтське з'єднання.

Крім стандартних функцій попередніх версійклієнтів Firewall, TMG клієнт підтримує:

• повідомлення HTTPS огляду
• підтримку AD Marker

Стандартні функції TMG клієнта

• Політика брандмауера на базі користувачів або груп для Web- і non-Web proxy за протоколом TCP і UDP (тільки для цих протоколів)
• Підтримка комплексних протоколів без використання прикладного фільтра TMG
• Спрощене налаштування маршрутизації у великих організаціях
• Автоматичне виявлення (Auto Discovery) інформації TMG з урахуванням налаштувань DNS і DHCP сервера.

Системні вимоги

TMG клієнт має деякі системні вимоги:

Підтримувані ОС

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Підтримувані версії ISA Server та Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Налаштування TMG клієнта на TMG сервері

Існує лише кілька параметрів на сервері Forefront TMG, які відповідають за налаштування поведінки Forefront TMG клієнта. Перш за все, можна включити підтримку TMG клієнта для визначення внутрішньої мережі на сервері TMG, як показано на малюнку нижче.

Рисунок 1: Параметри TMG клієнта на TMG

Після того, як підтримка TMG клієнта включена (це замовчування у звичайній установці TMG), можна також автоматизувати конфігурацію веб-браузера на клієнтських комп'ютерах. Під час звичайних інтервалів оновлення TMG клієнта або під час запуску служб браузер отримує параметри, налаштовані в консолі керування TMG.

У параметрах Програми на TMG клієнту в консолі TMG можна увімкнути або вимкнути деякі налаштування залежності програм.

Рисунок 2: Налаштування TMG клієнта

AD Marker

Microsoft Forefront TMG надає нову функцію автоматичного визначення сервера TMG для клієнта TMG. На відміну від попередніх версій Firewall клієнтів, Forefront TMG клієнт тепер може використовувати маркер Active Directory для пошуку відповідного TMG сервера. TMG клієнт використовує LDAP для пошуку необхідної інформації Active Directory.

Примітка:якщо TMG клієнт не знайшов AD маркер, він не перейде на класичну схемуавтоматичного виявлення через DHCP та DNS з міркувань безпеки. Це зроблено для зниження ризику виникнення ситуації, в якій хакер намагається змусити клієнта використовувати менше безпечний спосіб. Якщо підключення до Active Directory вдалося створити, але неможливо знайти AD Marker, клієнти TMG переходять до DHCP та DNS.

Інструмент TMGADConfig

Для створення конфігурації маркера AD Marker в Active Directory ви можете завантажити TMG AD Config інструмент із центру завантаження Microsoft Download Center (вам потрібно знайти AdConfigPack.EXE). Після завантаження та встановлення інструменту на TMG вам потрібно виконати наступну команду в інтерпретаторі, щоб внести ключ маркера AD до розділу реєстру:

Tmgadconfig add 'default 'type winsock 'url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можна також видалити маркер AD за допомогою інструмента tmgadconfig, якщо ви вирішите не використовувати підтримку AD Marker.

Встановлення TMG клієнта

Останню версію TMG клієнта можна завантажити з веб-сайту компанії Microsoft.

Почніть процес встановлення та дотримуйтесь вказівок майстра.

Малюнок 3: Встановлення TMG клієнта

Можна вказати розташування TMG сервера вручну, або автоматично під час встановлення TMG клієнта. Після встановлення можна переналаштувати параметри механізму визначення TMG клієнта за допомогою інструмента налаштування TMG клієнта, який розташований в панелі завдань вашого клієнта.

Рисунок 4: Вибір комп'ютера для встановлення TMG клієнта

Розширене автоматичне визначення

Якщо ви хочете змінити поведінку процесу автоматичного визначення, у клієнті TMG тепер є нова опціядля налаштування методу автоматичного визначення.

Малюнок 5: Розширене автоматичне визначення

Повідомлення HTTPS огляду

Microsoft Forefront TMG має новою функцієюогляду HTTPS трафіку для вихідних клієнтських з'єднань. Для інформування користувачів про цей процес новий TMG клієнт може використовуватися, щоб інформувати користувачів про те, що вихідні підключення HTTPS піддаються перевірці, якщо вам це потрібно. У адміністраторів TMG також є можливість відключення процесу сповіщення централізовано із сервера TMG, або вручну на кожному Forefront TMG клієнті.

Рисунок 6: Огляд захищених підключень

Якщо увімкнено огляд вихідних HTTPS підключень і параметр сповіщення користувачів про цей процес також увімкнено, користувачі, на комп'ютерах яких встановлено Forefront TMG клієнт, будуть отримувати повідомлення подібне до того, що показано на малюнку нижче.

Рисунок 7: Повідомлення про використання огляду захищених підключень

Висновок

У цій статті я надав вам огляд процесу встановлення та налаштування нового Microsoft Forefront TMG клієнта. Я також показав вам деякі нові функції цього клієнта Forefront TMG. На мою думку, вам слід використовувати TMG клієнта в будь-якому можливому середовищі, оскільки він надає вам додаткові функціїбезпеки.

Я планую створення нового сайту і цього разу збираюся використовувати Drupal. Бо WordPress показав себе не дуже добре на збільшених навантаженнях. На Drupal створення сайтів так само просто і надійно, а масштабованість і надійність рішення набагато вища.

Дуже хороший сайт з гідним асортиментом дитячих ігор: навчальні ігри для дитини, розвиваючі ігри та багато іншого.

• Запускаємо програму встановлення з DVD диска, Рис.1, далі вибираємо Запустити майстер установки
• Дозволяємо роботу майстра, далі дотримуємося підказок майстра Мал. 8 по 14, все це виконується, якщо потрібна установка додаткових компонентів.
• Майстер починає збір відомостей для встановлення продукту, дотримуйтеся підказок Мал. 15 по 29. Основні моменти, які тут потрібно визначити це номер ліцензії, діапазони адрес для внутрішніх мереж, що захищаються.
• Після повідомлення про успішне встановлення продукту, запускаємо консоль управління Forefront TMG і відразу автоматично запускається майстер початкового налаштуваннясистеми. На цьому етапі ваш сервер не пропускає жодних пакетів між інтерфейсами, блокується все.
• Наступним етапом необхідно вказати серверу варіант установки, який буде використовуватися для подальшої роботи. Варіанти установки вказані на рис.2 - рис.6. Далі визначаємо параметри внутрішньої (закритої) мережі, вибираємо інтерфейс і система сама підставляє параметри маски підмережі, адресу, стандартний шлюз, та інше. Натискаємо далі і вибираємо інтерфейс, який дивиться в Інтернет, аналогічно перевіряємо, що всі параметри відображаються коректно. У наступному вікні вибираємо та налаштовуємо інтерфейс демілітаризованої зони, тут є ще один параметр (Public/Private), при першому варіанті встановлюються відносини маршрутизації між периметром та зовнішньою мережею та повідомлення між периметром та закритою мережею відбуваються через трансляцію адреси (NAT), при другому варіанті трансляція адреси відбувається між зовнішньою мережею та мережею периметра, а внутрішня мережа працює з мережею периметра по механізму Мал. 30 Рис. 38.
• Наступний майстер просить визначити установку Forefront TMG як учасника домену або ізольований сервер у робочій групі Мал. 39 Рис. 41.
• Останній майстер попросить визначити, як Forefront TMG оновлюватиметься, чи встановлюватиметься ліцензія на активацію NIS (мережева інспекція) та веб-захист, як часто потрібно оновлювати сигнатури загроз, запитає чи ви хочете брати участь у програмі покращення Майкрософт, чи слід відправляти телеметричні дані з сервера Майкрософт Мал. 42 Рис. 50.
• Відкрийте консоль конфігурації Forefront TMG (Microsoft Forefront TMG Management), на лівій панелі виберіть "Центр оновлення", натисніть на панелі завдань, встановіть політику оновлення. Якщо ви маєте служби оновлення (WSUS), ви можете вибрати цей варіант або оновлюватися безпосередньо з сайту Майкрософт, Мал. 51.
• Далі необхідно налаштувати параметри внутрішньої (закритої) мережі. Для цього вибираємо "Мережа"на лівій панелі та у правому вікні переходимо на вкладку "Мережі".Відкриваємо властивості внутрішньої (закритої) мережі на вкладці "Домени"додаємо всі домени закритої мережі, наприклад "*.contoso.com", Мал. 52 Рис. 55, переходимо на вкладку "Веб-браузер", відзначаємо прапорці "Обходити проксі..."і "Прямий доступ до комп'ютерів цієї мережі", перевірте, чи всі діапазони IP-адрес внутрішньої мережі присутні, при необхідності можете додати адреси, Мал. 56-57. Якщо потрібно настроїти функцію автоматичного виявлення налаштувань браузерів - на вкладці "Автоматичне виявлення"позначте прапорець "Публікувати параметри автоматичного виявлення для цієї мережі", також необхідно вказати порт, за замовчуванням використовується порт 80 , Мал. 58. На вкладці "Налаштування клієнта TMG"активуємо налаштування клієнта для цієї мережі (прапорець), прибираємо прапорці "Автоматичне визначенняналаштувань"і "Використання автоматичних скриптів" , відзначаємо "Використовувати Web-проксі сервер"та вказуємо ім'я або адресу сервера. Мал. 59.
  Переходимо на вкладку "Web-проксі"та активуємо Web-проксі з'єднання для даної мережі та вказуємо порт, за замовчуванням порт 80 , ви можете використовувати наприклад порт 8080 . Далі йдемо в аутентифікацію та перевіряємо що зазначена "Вбудована", на вкладці "Розширені налаштування", відзначаємо "Без обмежень", потім натискаємо застосувати та Ok, Мал. 60 Рис. 63. Тепер необхідно провести аналогічні установки для мережі периметра.
• TMG дозволяє налаштувати моніторинг ресурсів, для цього відкрийте "Моніторинг"на лівій панелі та зайдіть на вкладку "Перевірка з'єднань", створіть правила перевірки для DNS, DHCP, Активного каталогу, або довільне правило для перевірки доступності будь-якого ресурсу, Мал. 64 Рис. 66.
• За замовчуванням весь трафік заборонено, тому необхідно створити дозвільне правило для HTTP та HTTPS протоколів з внутрішньої мережі до мережі периметра та до зовнішньої мережі та ще правило для доступу HTTP та HTTPS трафіку від мережі периметра до внутрішньої та зовнішньої мереж. Мал. 67 Рис. 78.
• Перевіряємо працездатність TMG. Для перевірки заходимо на комп'ютер у внутрішній мережі, відкриваємо налаштування проксі в Internet Explorer, вводимо адресу проксі, порт і натискаємо "Застосувати", перевіряємо доступність сайтів, Рис. 79 Рис. 81. Тепер ви повинні успішно підключитися до Інтернету через TMG.