Скорая помощь Forefront Threat Management Gateway. Установка Microsoft Forefront Threat Management Gateway в виртуальной среде Microsoft Hyper-V

Запускаем программу установки c DVD диска, Рис.1, далее выбираем Запустить мастер установки
Разрешаем работу мастера, Рис.7, далее следуем подсказкам мастера Рис. 8 по 14, все это выполняется если требуется установка дополнительных компонентов.
Мастер начинает сбор сведений для установки продукта, следуйте подсказкам Рис. 15 по 29. Основные моменты, которые здесь требуется определить это номер лицензии, диапазоны адресов для внутренних (защищаемых) сетей.
После сообщения об успешной установке продукта, запускаем консоль управления Forefront TMG и сразу автоматически запускается мастер первоначальной настройки системы. На данном этапе ваш сервер не пропускает никаких пакетов между интерфейсами, блокируется все.
Следующим этапом необходимо указать серверу вариант установки, который будет использоваться для последующей работы. Варианты установки указаны на Рис.2 - Рис.6. Далее определяем параметры внутренней (закрытой) сети, выбираем интерфейс и система сама подставляет параметры маски подсети, адрес, шлюз по умолчанию, и прочее. Нажимаем далее и выбираем интерфейс, который смотрит в Интернет, аналогично проверяем что все параметры отображаются корректно. В следующем окне выбираем и настраиваем интерфейс демилитаризованной зоны, здесь присутствует еще один параметр (Public/Private) , при первом варианте устанавливаются отношения маршрутизации между периметром и внешней сетью и сообщение между периметром и закрытой сетью происходят через трансляцию адреса (NAT), при втором варианте трансляция адреса происходит между внешней сетью и сетью периметра, а внутренняя сеть работает с сетью периметра по механизму маршрутизации Рис. 30 по Рис. 38.
Следующий мастер просит определить установку Forefront TMG как участник домена или изолированный сервер в рабочей группе Рис. 39 по Рис. 41.
Последний мастер попросит определить как Forefront TMG будет обновляться, будет ли устанавливаться лицензия на активацию NIS (сетевая инспекция) и веб-защита, как часто требуется обновлять сигнатуры угроз, спросит хотите ли вы участвовать в программе улучшения Майкрософт, следует ли отправлять телеметрические данные с сервера в Майкрософт Рис. 42 по Рис. 50.
Откройте консоль конфигурирования Forefront TMG (Microsoft Forefront TMG Managment), на левой панели выберите "Центр обновления" , нажмите настройки в панели задач, установите политику обновления. Если вы имеете службы обновления (WSUS), то можете выбрать этот вариант, или обновляться непосредственно с сайта Майкрософт, Рис. 51.
Далее необходимо настроить параметры внутренней(закрытой) сети. Для этого выбираем "Сеть" на левой панели и в правом окне переходим на вкладку "Сети". Открываем свойства внутренней (закрытой) сети, на вкладке "Домены" добавляем все домены закрытой сети, например "*.contoso.com" , Рис. 52 по Рис. 55, переходим на вкладку "Веб-браузер" , отмечаем флажки "Обходить прокси..." и "Прямой доступ к компьютерам этой сети" , проверьте что все диапазоны IP-адресов внутренней сети присутствуют, при необходимости можете добавить адреса, Рис. 56-57. Если необходимо настроить функцию автоматического обнаружения настроек браузеров - на вкладке "Автоматическое обнаружение" отметьте флажок "Публиковать настройки автоматического обнаружения для этой сети" , также необходимо указать порт, по умолчанию используется порт 80 , Рис. 58. На вкладке "Настройки клиента TMG" активируем настройки клиента для этой сети (флажок), убираем флажки "Автоматическое определение настроек" и "Использование автоматических скриптов" , отмечаем "Использовать Web-прокси сервер" и указываем имя или адрес сервера. Рис. 59.
Переходим на вкладку "Web-прокси" и активируем Web-прокси соединения для данной сети и указываем порт, по умолчанию порт 80 , вы можете использовать например порт 8080 . Далее идем в аутентификацию и проверяем что отмечена "Встроенная" , на вкладке "Расширенные настройки" , отмечаем "Без ограничений" , затем нажимаем применить и Ok, Рис. 60 по Рис. 63. Теперь необходимо провести аналогичные настройки для сети периметра.
TMG позволяет настроить мониторинг ресурсов, для этого откройте "Мониторинг" на левой панели и зайдите на вкладку "Проверка соединений" , создайте проверяющие правила для DNS, DHCP, Активного каталога, или произвольное правило для проверки доступности какого-либо ресурса, Рис. 64 по Рис. 66.
По умолчанию весь трафик запрещен, поэтому необходимо создать разрешающее правило для HTTP и HTTPS протоколов из внутренней сети к сети периметра и ко внешней сети и еще правило для доступа HTTP и HTTPS трафика от сети периметра к внутренней и внешней сетям. Рис. 67 по Рис. 78.
Проверяем работоспособность TMG. Для проверки заходим на компьютер во внутренней сети, открываем настройки прокси в Internet Explorer, вводим адрес прокси, порт и нажимаем "Применить" , проверяем доступность сайтов, Рис. 79 по Рис. 81. Теперь вы должны успешно подключиться к интернет через TMG.

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение. Для списка причин, по которым стоит использовать TMG клиент, читайте Тома Шиндера на www.ISAserver.org:

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

уведомления HTTPS осмотра
поддержку AD Marker

Стандартные функции TMG клиента

Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
Упрощенная настройка маршрутизации в больших организациях
Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

Windows 7
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

ISA Server 2004 Standard Edition
ISA Server 2004 Enterprise Edition
ISA Server 2006 Standard Edition
ISA Server 2006 Enterprise Edition
Forefront TMG MBE (Medium Business Edition)
Forefront TMG 2010 Standard Edition
Forefront TMG 2010 Enterprise Edition

Поддержка операционных систем

Клиент /Сервер – совместимость

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add "default "type winsock "url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft. В конце статьи я привел ссылки на загрузку.

Начните процесс установки и следуйте указаниям мастера.

Р исунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте. Для дополнительной информации о настройке осмотра исходящего HTTPS трафика читайте следующую Тома Шиндера

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Microsoft Forefront Threat Management Gateway (TMG) 2010 очень сильно зависит от самых различных служб для поддержания безопасности сети и оптимального быстродействия. Настройка сетевых интерфейсов и в особенности разрешение имен имеет ключевую роль, особенности в случае если TMG настроен как прямой и обратный прокси. В моей практике очень много проблем с TMG были вызваны неправильной настройкой DNS. В этой статье я хотел бы поговорить о настройке сетевых интерфейсов и требований к DNS серверам для правильного разрешения имен в TMG.

Требования к DNS серверам

При выборе DNS сервера в TMG необходимо принять во внимание несколько важных факторов. За очень редким исключением TMG должен быть настроен на использование только внутренних DNS серверов, которые могут резолвить внутреннее пространство адресов а также внешние адреса. Для обеспечения безотказной работы данные DNS сервера должны быть подключены по быстрым соединениям и иметь достаточно ресурсов для успешной обработки всех входящих запросов на разрешение имен. Это целиком зависит от того, как много пользователей подключены к TMG и каким образом они подключены. Клиент веб-прокси и TMG клиент целиком и полностью зависят от TMG в процессе разрешения имен, увеличивая загрузку DNS серверов. Клиенты SecureNAT выполняют разрешение самостоятельно. Если DNS сервера слишком перегружены или между TMG и DNS проблемы с каналами связи, вы можете испытывать самые разнообразные проблемы в работе TMG. Например результатом этого может быть медленная загрузка страниц или запрос на аутентификацию для пользователей, которые должны быть аутентифицировы прозрачно с помощью NTLM или Kerberos.

Конфигурация сетевых интерфейсов

Настройка сетевого интерфейса в TMG c одним сетевым интерфейсом очень проста: IP адрес, маска, шлюз и DNS сервера все настраиваются в локальном интерфейсе. Ситуация несколько усложняется когда имеется несколько сетевых интерфейсов. Если TMG имеет несколько сетевых интерфейсов, то каждый интерфейс должен иметь свой собственный уникальный IP и маску подсети. Однако вне зависимости от того, как много у вас сетевых интерфейсов вы можете иметь только один дефолтный шлюз, причем на внешнем интерфейсе. Никогда не настраивайте шлюз по умолчанию на другом интерфейсе, отличном от внешнего (кроме случая настройки ISP redundancy, при котором оба внешний интерфейса имеют свои собственные шлюзы по умолчанию). С случае необходимости получения доступа к любой удаленной подсети внутри сети или в сети периметра используйте постоянные статические маршруты.

Порядок назначения сетевых интерфейсов

Для TMG c несколькими сетевыми интерфейсами есть ещё одна настройка, про которую очень часто и не обоснованно забывают. Это порядок привязки сетевых интерфейсов. Откройте Network and Sharing Center , нажмите ссылку Change adapter settings . Далее нажмите наAdvanced и Advanced Settings…

Выберите вкладку Adapters and Bindings и убедитесь что внутренний сетевой интерфейс идет первым по списку. Если это не так, выберите его и с помощью стрелочек справа передвиньте на первое место.

Настройка DNS

DNS сервера должны быть указаны только на внутреннем интерфейсе. Не настраиваете DNS на любом другом интерфейсе. Очень частой ошибкой является когда администраторы указывают адреса DNS серверов провайдера на внешнем интерфейсе в дополнение в внутренним DNS серверам, указанным на внутреннем интерфейсе.

Исключение из правила

Существует только один вид развертывания TMG при котором допускается указывание DNS серверов на внешнем интерфейсе. В этом сценарии TMG не является членом домена и не связан с внутренними ресурсами.

Внутренние корневые DNS сервера

В некоторых ситуациях внутрениие DNS сервера не могут резолвить внешние адреса. Это может быть например в случае когда внутренние DNS сервера настроены как корневые сервера для вашего внутреннего простанства имен. Тем не менее требования TMG остаются неизменными. Для его работы требуется возможность резолвинга как внутренних так и внешних адресов.

В данном сценарии вам нужно настроить DNS сервер для TMG для соответствия этим требованиям. Лучшим способом для этого является настройка выделенного кэширующего DNS сервера с настроенной пересылкой.

Полезная информация

sivpk.ru - сайт о выборе и сборке компьютера. Здесь можно прочитать о выборе и составе игрового, мультимедийного и офисного компьютера.

Интересный сайт, на котором есть подробный обзор хостингов и другие интересные статьи по выбору хостинга, инструментах для веб-мастера и многое другое.

Microsoft Forefront Threat Management Gateway 2010 поддерживает только операционные системы Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2.

Минимальные системные требования:

поддерживаемые операционные системы: Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2;
компьютер с двухъядерным (1 ЦП x два ядра) 64-разрядным процессором ;
2 Гб оперативной памяти;
один раздел локального жесткого диска с файловой системой NTFS;

компьютер с четырехъядерным (2 ЦП x два ядра или 1 ЦП x четыре ядра) 64-разрядным процессором ;
4 Гб оперативной памяти
2,5 Гб свободного места на жестком диске (будет использоваться только для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ);
два диска для ведения системного журнала и журнала TMG и один - для кэширования и проверки наличия вредоносных программ;
одна сетевая плата, совместимая с операционной системой компьютера, для взаимодействия с внутренней сетью;
дополнительная сетевая плата для каждой сети, подключенной к серверу Forefront TMG.

Установка продукта

Комплексный набор программ для обеспечения безопасности в сети, позволяющий повысить надежность охраны и усилить контроль за клиентскими и серверными операционными системами, благодаря интеграции с существующей ИТ-инфраструктурой и упрощению развертывания, управления и анализа.

Усилиями компании Майкрософт полная версия продукта (Forefront TMG), являющегося прямым наследником Microsoft ISA Server, вышла в первом полугодии 2009 года. Помимо всего функционала Microsoft ISA Server новый продукт включает в себя улучшения существующих, а также множество новых функций.

Forefront TMG продается в двух вариантах: Standard и Enterprise. Функционально они практически не отличаются, различия состоят лишь в лицензионных ограничениях, которые приведены ниже.


Процессоры		Без ограничений
	Поддержка 2Гб RAM	Без ограничений
Балансировка загрузки сети
Поддержка протокола Cache Array Routing
Использование консоли Enterprise Management Console
Необходимость лицензирования всех виртуальных машин по CPU в добавление к физическому CPU
Возможность переноса на любой другой сервер	Лицензия выписывается на физический сервер и может меняться только раз в 90 дней	В любое время

* Сервера Standard Edition могут управляться при помощи TMG Enterprise Management Console.

Рисунок 1: Окно установки Forefront Threat Management Gateway

Так выглядит окно установки , непосредственно перед установкой продукта нам необходимо запустить средство подготовки, которое настроит роли и компоненты Windows.

Рисунок 2: Средство подготовки к установке Forefront Threat Management Gateway

После завершение работы средства подготовки можно приступать непосредственно к самой установке Forefront Threat Management Gateway , которая происходит в три этапа:

установка основных компонентов;
дополнительные компоненты (SQL Express);
инициализация системы.

Рисунок 3: Этапы установки Forefront Threat Management Gateway

На первом этапе установки предлагается выбрать директорию, куда будет установлен продукт, а так же указать диапазон адресов, которые будут входить во внутреннюю сеть сервера Forefront Threat Management Gateway .

Рисунок 4: Определение диапазона внутренней сети

Настройка выполняется с помощью специального мастера и не вызывает никаких сложностей.

Рисунок 5: Выбор IP-адресов

После указания сетевой платы автоматически будут подставлены диапазоны IP-адресов, которые будут входить во внутреннюю сеть сервера.

Рисунок 6: Выбор сетевой платы

Нам лишь остается подтвердить наш выбор нажатием ОК и мастер установки предупредит нас о том, что некоторые службы будут остановлены или перезапущены в момент установки продукта, далее все происходит в автоматическом режиме.

Процесс установки разработан таким образом, чтобы не вызывать вопросов даже у простого пользователя, хотя сам продукт рассчитан на системных администраторов и IT- специалистов. Надо сказать, что Microsoft заботится о своих пользователях и старается сделать все предельно просто и ясно.

В самом конце установки перед нами появляется окно, которое уведомляет нас о том, что установка закончена и сейчас нам следует запустить программу управления Forefront Threat Management Gateway .

Рисунок 7: Завершение установки Forefront Threat Management Gateway

Отмечаем галочкой предложенный пункт и нажимаем Готово. На этом установка завершена, и мы переходим на настройке продукта.

Первоначальная настройка

Перед нами появляется интерфейс продукта, но который нам пока не нужен, на этом этапе предлагается сделать первоначальную настройку программы, с помощью специального мастера, который проведет всю настройку в три этапа.

Рисунок 8: Мастер первоначальной настройки Forefront Threat Management Gateway

Внизу окна мы видим предупреждение о том, что в случае апгрейда с Microsoft ISA 2006 импортирование параметров конфигурации необходимо сделать до запуска этого мастера.

Сейчас нам следует выполнять простые инструкции мастера для того, чтобы Forefront TMG работал необходимым нам образом. На первом этапе мы будем настраивать параметры сети.

Рисунок 9: Настройка параметров сети Forefront TMG

Выбираем способ, который нам необходим и нажимаем Далее , на этом этот этап настройки будет завершен и мастер предлагает идти далее, к конфигурированию системы.

Рисунок 10: Настройка параметров сети Forefront TMG

Делаем настройку необходимых нам пунктов и выбираем Далее , на этом мастер заканчивает свою работу и нам остается еще один пункт настройки - это задание параметров развертывания Forefront TMG . Здесь первым делом мы должны выбрать использование службы Центра обновления Майкрософт для обеспечения работоспособности защитных механизмов, которые использует Forefront TMG .

Рисунок 11: Установка центра обновлений Майкрософт для Forefront TMG

Рисунок 12: Настройка параметров защиты Forefront TMG

На следующем этапе нам предлагается настроить выбранные нами компоненты.

Рисунок 13: Настройка обновлений антивирусных баз

Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее . На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG , сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт.

Для тех, кто по какой-то причине не доверяет этой программе, есть возможность отказаться от участия, хотя, на мой взгляд, это абсурдно, мы уже доверили свою безопасность этому продукту, поэтому сомневаться в данной программе не имеет смысла, никакой личной информации с компьютера не собирается.

Рисунок 14: Программа улучшение качества программного обеспечения

На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting . Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее .

Рисунок 15: Выбор уровня участия в Microsoft Telemetry Reporting

На этом действии работа мастера первоначальной настройки завершена.

Рисунок 16: Запуск мастера веб-доступа

Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов.

Рисунок 17: Правила политики веб-доступа

На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений.

Отношение ресурса к тому или иному типу назначения осуществляется с помощью запроса к Microsoft Reputation Service , веб-адреса передаются серверу по защищенному каналу.

После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG .

Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки.

Рисунок 19: Параметры проверки наличия вредоносных программ

На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет.

Рисунок 20: Параметры проверки HTTPS в Forefront TMG

Мы разрешаем пользователям устанавливать HTTPS-соединения с веб-сайтами, не будем проверять этот трафик, но будем блокировать его, если сертификат, который используется, является недопустимым.

Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик.

Рисунок 21: Настройка веб-кэширования

Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена.

Рисунок 22: Завершение настройки веб-доступа

По итогам установки и первоначальной настройки хочется сказать, что установщик позволяет сделать очень гибкую настройку Forefront TMG , множество стандартных схем предусмотрено самим установщиком, нам предоставляется возможность их редактирования, а так же возможность создания собственных условий и политик, которые в полной мере соответствуют нашим потребностям.

Функциональность Forefront TMG

Теперь посмотрим на внутренности Forefront TMG и по традиции начнем с интерфейса, который сделан по принципу «проще не придумаешь». Весь интерфейс делится на три столбца, каждый столбец содержит четко определенную информацию, которую он несет, ее можно разделить на три элемента:

название узла;
функционал и статистика его работы;
задачи, которые возможно выполнять с помощью данного узла.

Чтобы было более понятно, рассмотрим концепт на конкретном примере.

Отображение состояния защиты

Рисунок 23: Панель состояния работы Forefront TMG

В левой части мы видим название узла - Панель , по центру указана различная информация о модулях и статистика работы, а в самом правом столбце мы видим задачу, которую возможно выполнить – Обновить и этот концепт мы увидим, выбрав любой
узел Forefront TMG , так же в правом (3) столбце обычно расположена справка по данному узлу и задачам.

Это очень удобная концепция построения интерфейса, все «как на ладони» перед нашими глазами. Раздел Панель - это снимок сводки действий Forefront TMG , выполненный в реальном времени. Все важные сведения отображаются на одном экране, что помогает быстро определять и устранять возникающие проблемы.

Самый первый блок мы уже рассмотрели, поэтому двигаемся дальше к разделу Наблюдение . По своей сути этот раздел является расшифровкой тех событий, которые мы наблюдаем на экране Панель .

Наблюдение за событиями

Рисунок 24: Наблюдение за текущим состоянием Forefront TMG

Данный раздел разбит на пять вкладок:

оповещения;
сеансы;
средства проверки подключения;
службы;
конфигурация.

Оповещения - это реакция Forefront TMG на определенное событие. Для простоты и использования идентичные оповещения объединяются в группы. В правом блоке нам предоставляется возможность настройки определений.

Сеансы – функция наблюдения за сеансами Forefront TMG в реальном времени позволяет централизованно отслеживать клиентский трафик. Присутствует возможность изменения фильтра, приостановки и остановки сеанса наблюдения.

Рисунок 25: Наблюдение за сеансами в Forefront TMG

Средства проверки подключения - использую эту функцию можно выполнять регулярное наблюдение за подключениями определенного компьютера или url-адреса к компьютеру Forefront TMG .

Рисунок 26: Наблюдение за проверкой подключений в Forefront TMG

Службы – функция наблюдения за службами Forefront TMG в реальном времени. Есть возможность остановки и включения отдельных служб.

Рисунок 27: Наблюдение за службами Forefront TMG

Конфигурации – функция отслеживания репликации конфигурации на каждом элементе массива в реальном времени.

Теперь мы рассмотрим раздел Политика межсетевого экрана , в котором для защиты активов сети можно определить правила политики межсетевого экрана, разрешающие или запрещающие доступ к подключенным сетям, веб-сайтам и серверам.

Политики межсетевого доступа

Forefront TMG предоставляет возможности гибкой настройки правил и политик фильтрации трафика: добавление или удаление правил, а также внесение изменений в уже существующие правила.

Рисунок 28: Политика межсетевого экрана в Forefront TMG

Рисунок 29: Задачи политик межсетевого экрана в Forefront TMG

Каждая из задач осуществляется с помощью понятного и доступного мастера настройки.
В Forefront TMG появился новый узел конфигурации, именуемый Политика веб-доступа .

Фильтрация веб-трафика

В данном узле располагаются все настройки службы веб-прокси, параметры доступа пользователей к ресурсам Интернет по протоколам HTTP, HTTPS, FTP-over-HTTP (туннелированный FTP), а также параметры конфигурации модуля проверки пользовательского трафика на наличие вредоносного кода – Malware Inspection.

Рисунок 30: Политика веб-доступа в Forefront TMG

В правом углу мы можем наблюдать задачи, которые могут выполняться данным узлом. В состав данного узла входит компонент, который проверяет трафик на наличие malware – Malware Content Inspection .

Данный модуль использует движок Microsoft Antimalware Engine и позволяет инспектировать HTTP и туннелированный FTP-трафик клиентов веб-прокси.
Более того, можно проверять трафик даже исходящих HTTPS-соединений! При этом пользователь, чья SSL-сессия проверяется модулем Malware Inspection, получает уведомление об этом процессе. Также существует возможность исключить определённые веб-узлы из проверки.

Рисунок 31: Настройки модуля проверки трафика

При загрузке файлов большого объёма пользователю может быть продемонстрирована информация о процессе проверки загружаемых файлов на наличие вредоносного кода.

Теперь мы рассмотрим следующий узел, который называется Политика электронной почты .

Фильтрация электронной почты

Forefront TMG действует как релей между внутренними SMTP-серверами и внешними SMTP-серверами, расположенными за пределами организации, и применяет политики электронной почты к пересылаемым сообщениям.

Рисунок 32: Политика фильтрации электронной почты в Forefront TMG

Задачи, которые выполняются данным узлом, указаны в правом столбце, в соответствии с концепцией, которую мы разобрали вначале обзора. Следующий узел, который мы рассмотрим Система предотвращения вторжений.

Система предотвращения вторжений (IPS)

Forefront TMG включает в себя систему обнаружения вторжений уровня сети (Network based Intrusion Detection System, N-IDS), разработанную Microsoft Research и именуемую GAPA. В отличие от частичной реализации функционала механизма обнаружения сетевых вторжений, используемого в ISA Server, GAPA представляет собой полноценную систему N-IDS.

Microsoft обещает, что сигнатуры сетевых атак для расширения функционала GAPA будут периодически поставляться в виде пакетов обновлений через службу Microsoft Update.

Рисунок 33: Система предотвращения вторжений

В центральном столбце указаны названия сигнатур сетевых атак и действие, которое будет выполнено по умолчанию. Также в данном узле располагается модуль Обнаружение поведенческих вторжений , в нем можно настроить параметры для обнаружения предполагаемых вторжений на основе данных о сетевой активности.

Рисунок 34: Обнаружение вторжений по поведению в Forefront TMG

В этом разделе предлагается настройка параметров обнаружения для наиболее распространенных атак.

Рисунок 35: Настройка обнаружений вторжений

Так же присутствует обнаружение DNS-атак.

Рисунок 36: Настройка правил фильтрации (параметры IP)

При необходимости можно включить блокирование фрагментов IP.

Рисунок 37: Настройка параметров предотвращения Flood-атаки

В Forefront TMG реализована поддержка протокола SIP, а также функция VoIP (Voice over IP) NAT Traversal, позволяющая данному типу трафика проходить через шлюзы со службой преобразования сетевых адресов (NAT). Можно задать исключения IP-адресов, а так же назначить квоты SIP .

Политика удаленного доступа

Рисунок 38: Политика удаленного доступа в Forefront TMG

В этом разделе можно настроить и защитить виртуальную частную сеть VPN, которая позволяет двум компьютерам обмениваться данным через общедоступную сеть с имитацией частного подключения типа «точка-точка».

В Forefront TMG реализована поддержка протокола SSTP (Secure Socket Tunneling Protocol), позволяющего туннелировать трафик VPN-сессии внутри обычного протокола HTTP в рамках SSL-сессии. Этот механизм позволяет без проблем устанавливать VPN-соединения вне зависимости от конфигурации межсетевого экрана, веб-прокси сервера или службы трансляции сетевых адресов. На данный момент эту технологию поддерживают только ОС Windows Vista SP1 и Windows Server 2008.

Настройки сети

Данный узел разделен на семь вкладок:

Сети - настройка сетевой среды, осуществляется путем определения сетей и отношений между ними.
Наборы сетей - группировка сетей в наборы, которые могут использоваться в правилах Forefront TMG .
Сетевые правила – определяют наличие соединения между сетями и его тип.
Сетевые платы – в этом разделе представлены сведения о подключении для каждой установленной сетевой платы.
Маршрутизация – представляет сведения о каждом статическом и активном маршруте в системе.
Веб-цепочка – для запроса клиента веб-прокси следует создавать правила веб-цепочек, необходимых для определения способа маршрутизации подобных запросов.
Избыточность IPS – наблюдение за избыточностью ISP, позволяет отслеживать распределение трафика между двумя ISP соединениями.

Рисунок 39: Настройки сети в Forefront TMG

В Forefront TMG реализована функция ISP Link Redundancy , которая позволяет организовать отказоустойчивое подключение к сети Интернет посредством сразу двух ISP-каналов. Причем возможно как горячее резервирование интернет-канала, так и балансировка сетевой нагрузки между интернет-каналами. Наконец-то появилась возможность направления определенного сетевого трафика через конкретный интернет-канал!

Настройки самой системы

Этот узел разделен на три вкладки:

серверы;
фильтры приложений;
веб-фильтры.

Рисунок 40: Настройки системы в Forefront TMG

Вкладка Серверы представляет сведения обо всех серверах в конфигурации Forefront TMG . Фильтры приложений представляют собой дополнительный уровень безопасности и могут выполнять задачи, относящиеся к протоколу и системе, такие как проверка подлинности и проверка на наличие вирусов. Веб-фильтры могут отслеживать, анализировать и перехватывать данные, передаваемые по протоколу HTTP между локальной сетью и Интернетом.

Журналы и отчеты

Вкладка Ведение журнала - здесь собирается информация о событиях, которые происходили на компьютере Forefront TMG . При выборе Выполнить запрос в журнале начнут появляться данные о событиях в реальном времени с детальным описанием события.

Во вкладке «Отчет» создаются отчеты о работе Forefront TMG на основе файлов журнала, где регистрируются действия, выполняемые на компьютере. Отчет можно создать однократно или настроить создание периодических отчетов.

Рисунок 41: Журналы и отчеты в Forefront TMG

Центр обновления

Рисунок 42: Центр обновления Forefront TMG

В данном узле отображается состояние обновлений Майкрософт, установленных на данном сервере Forefront TMG. По умолчанию определения проверяются каждые 15 минут.

Устранение неполадок

На вкладке Устранение неполадок указаны полезные ссылки на материалы по обслуживанию и устранению неполадок связанных с Forefront TMG .

Рисунок 43: Устранение неполадок

Когда включено Отслеживание изменений и применяется изменение конфигурации, сведение об этих изменениях заносятся в виде записи в данный раздел. Имитатор трафика позволяет оценить политики межсетевого экрана по нескольким заданным параметрам.

Представление Сбор данных диагностики позволяет выполнить запрос к базе данных журнала диагностики в соответствии с критериями фильтра.
Проверка возможности подключения помогает проверить, могут ли серверы Forefront TMG подключаться к определенным узлам назначения
в интернете.

На этом мы заканчиваем наш обзор , и нам лишь остается сделать итоговые выводы и дать оценку продукту:

Выводы

Forefront TMG является очень функциональным, гибким в настройке, простым в интеграции и соответствует современным требованиям по обеспечения комплексной безопасности корпоративных сетей. На наш взгляд, простота и эффективность будут склонять корпоративных клиентов к этому решению при выборе защиты для своей корпоративной сети.

Forefront TMG представляет собой новое поколение систем защиты интернет-шлюза корпоративной сети, включает в себя, пожалуй, все необходимые функции и в ближайшем будущем должен серьезно потеснить своего предшественника Microsoft ISA Server 2006.

К небольшим минусам Forefront TMG можно отнести отсутствие системы квотирования трафика (автоматического отключения пользователя при исчерпании лимита) и отсутствие антивирусной проверки FTP-трафика. Тем не менее, наша субъективная оценка решения Forefront Threat Management Gateway 9 из 10.

Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).

Установку Windows Server в виртуальную машину мы рассматривали в статье:

Так-же нам потребуеться виртуальная машина с настроенным DNS сервером (мы используем Windows Server 2008 R2 с установленным DNS сервером)
и одним внутренним интерфейсом (тип Внутренняя сеть).

После загрузки файла дважды нажмите на нем, откроеться мастер установки:

Ждем пока распакуеться:

После распаковки файлов вы увидите приветственную страницу:

Нажимаем "запустить средство подготовки", откроеться окно:

Принимаем лицензионное соглашение:

Вводим имя пользователя и организацию:

Откроется окно выбора сетевой платы (выбираем плату внутренней сети):

По окончании мастера установки, в открывшемся окне ставим галку "запустить програму управления":

Появиться веб-страничка об успешной установке и окно мастера начальной настройки:

В мастере нажимаем "настройка параметров сети", откроеться мастер настройки сети:

Указываем сетевую плату внутренней сети:

Указываем сетевую плату внешней сети(на скриншоте установлен DNS 192.168.137.1 - это не правильно, DNS-сервер должен быть один на вутренней сети, а сдесь графа DNS-сервера должна быть пустой):

Проверяем правильность:

В открывшемся мастере начальной настройки нажимаем "настройка системных параметров":

В открывшемся мастере пока оставляем все как есть:

Сдесь мы устанавливаем настройки обновления:

Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт:

На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее:

На этом действии работа мастера первоначальной настройки завершена:

Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов:

На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет:

Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена:

Все проверяем:

На этом первоначальная настройка завершена.