thuis-Goed om te weten-EHBO Forefront Gateway voor bedreigingsbeheer. Microsoft Forefront Threat Management Gateway installeren in een virtuele Microsoft Hyper-V-omgeving

EHBO Forefront Gateway voor bedreigingsbeheer. Microsoft Forefront Threat Management Gateway installeren in een virtuele Microsoft Hyper-V-omgeving

  • We starten het installatieprogramma vanaf de dvd-schijf, Fig. 1, en selecteren vervolgens Start de installatiewizard
  • Laat de wizard werken, Afb. 7, en volg daarna de aanwijzingen van de wizard Afb. 8 tot 14, dit alles wordt gedaan als de installatie van extra componenten vereist is.
  • De wizard begint informatie te verzamelen om het product te installeren; volg de aanwijzingen in Afb. 15 t/m 29. De belangrijkste punten die hier moeten worden bepaald zijn het licentienummer, adresbereiken voor interne (beveiligde) netwerken.
  • Na het bericht over de succesvolle installatie van het product starten we de Forefront TMG beheerconsole en start automatisch de First Time Wizard. initiële setup systemen. In dit stadium staat uw server geen pakketten toe tussen interfaces; alles is geblokkeerd.
  • De volgende stap is om aan de server de installatieoptie aan te geven die voor het volgende werk zal worden gebruikt. Installatieopties worden getoond in Fig.2 - Fig.6. Vervolgens definiëren we de parameters van het interne (gesloten) netwerk, selecteren we de interface en het systeem vervangt zelf de parameters van het subnetmasker, het adres, de standaardgateway, enz. Klik op Volgende en selecteer de interface die naar internet kijkt, en controleer op dezelfde manier of alle parameters correct worden weergegeven. Selecteer en configureer in het volgende venster de interface van de gedemilitariseerde zone. Er is nog een parameter (Publiek privaat) Bij de eerste optie worden routeringsrelaties tot stand gebracht tussen de perimeter en het externe netwerk en vindt de communicatie tussen de perimeter en het gesloten netwerk plaats via adresvertaling (NAT). Bij de tweede optie vindt adresvertaling plaats tussen het externe netwerk en het perimeternetwerk , en het interne netwerk werkt samen met het perimeternetwerk met behulp van een routeringsmechanisme Rice. 30 volgens afb. 38.
  • De volgende wizard vraagt ​​u om de Forefront TMG-installatie te definiëren als domeinlid of als zelfstandige server in een werkgroep. 39 volgens afb. 41.
  • De laatste wizard vraagt ​​u om te bepalen hoe Forefront TMG wordt bijgewerkt, of er een NIS (Network Inspection) en Web Security-activeringslicentie wordt geïnstalleerd, hoe vaak de handtekeningen van bedreigingen moeten worden bijgewerkt en of u wilt deelnemen aan het Microsoft Improvement Program , en of telemetriegegevens moeten worden verzonden vanaf de server bij Microsoft Fig. 42 volgens afb. 50.
  • Open de Forefront TMG-configuratieconsole ( Microsoft Voorhoede TMG Management), selecteer in het linkerdeelvenster "Updatecentrum", klik op instellingen in de taakbalk en stel het updatebeleid in. Als u over updateservices (WSUS) beschikt, kunt u deze optie kiezen, of rechtstreeks vanaf de Microsoft-website updaten, Afb. 51.
  • Vervolgens moet u de parameters van het interne (gesloten) netwerk configureren. Hiervoor kiezen wij "Netto" ga in het linkerpaneel en in het rechtervenster naar het tabblad "Netwerken". Open de eigenschappen van het interne (gesloten) netwerk op het tabblad "Domeinen" voeg bijvoorbeeld alle domeinen van een gesloten netwerk toe "*.contoso.com", Rijst. 52 volgens afb. 55, ga naar het tabblad "Webbrowser", controleer de dozen "Proxy's omzeilen..." En "Directe toegang tot computers op dit netwerk" Controleer of alle IP-adresbereiken van het interne netwerk aanwezig zijn. Indien nodig kunt u adressen toevoegen, Afb. 56-57. Als u de functie van automatische detectie van browserinstellingen moet configureren - op het tabblad "Automatische detectie" Vink het vakje aan "Publiceer instellingen voor automatische detectie voor dit netwerk", moet u ook de poort opgeven; de standaardwaarde is poort 80 , Rijst. 58. Op het tabblad "TMG-clientinstellingen" activeer de clientinstellingen voor dit netwerk (selectievakje), schakel de selectievakjes uit "Automatisch instellingen detecteren" En "Automatische scripts gebruiken", vieren "Gebruik een webproxyserver" en geef de naam of het adres van de server op. Rijst. 59.
    Ga naar het tabblad "Webproxy" en activeer webproxyverbindingen voor dit netwerk en specificeer de poort, de standaardpoort 80 , kunt u bijvoorbeeld poort gebruiken 8080 . Ga vervolgens naar authenticatie en controleer of dit aangevinkt is "Ingebouwd", op het tabblad "Geavanceerde instellingen", vieren "Geen grenzen", klik vervolgens op Toepassen en Ok, Afb. 60 volgens afb. 63. Nu moet u soortgelijke instellingen maken voor het perimeternetwerk.
  • Met TMG kunt u resourcemonitoring configureren; open "Toezicht houden" in het linkerpaneel en ga naar het tabblad "Verbindingen controleren", maak controleregels voor DNS, DHCP, Active Directory of een aangepaste regel om de beschikbaarheid van een bron te controleren, Fig. 64 volgens afb. 66.
  • Standaard wordt al het verkeer geweigerd, dus u moet een toestemmingsregel maken voor HTTP- en HTTPS-protocollen van het interne netwerk naar het perimeternetwerk en naar het externe netwerk, en ook een regel voor toegang tot HTTP- en HTTPS-verkeer van het perimeternetwerk naar de interne en externe netwerken. Rijst. 67 volgens afb. 78.
  • Het controleren van de functionaliteit van TMG. Om dit te controleren, gaat u naar een computer op het interne netwerk en opent u de proxy-instellingen in Internet Explorer, voer het proxyadres en de poort in en klik "Toepassen", het controleren van de beschikbaarheid van locaties, Fig. 79 volgens afb. 81. U zou nu succesvol verbinding moeten kunnen maken met internet via TMG.

Eén van de kenmerken van Forefront TMG is ondersteuning voor meerdere clients die worden gebruikt om verbinding te maken met Forefront TMG Firewall. Eén type client is de Microsoft Forefront TMG-client, ook wel bekend als de Winsock-client voor Windows. Het gebruik van de TMG-client biedt verschillende verbeteringen ten opzichte van andere clients (webproxy en Secure NAT). De Forefront TMG-client kan worden geïnstalleerd op meerdere Windows-client- en serverbesturingssystemen (die ik niet aanbeveel behalve Terminal Servers) die zijn beveiligd met Forefront TMG 2010. De Forefront TMG-client biedt HTTPS-verificatiemeldingen (gebruikt in TMG 2010), automatisch detectie, verbeterde beveiliging, applicatieondersteuning en toegangscontrole voor clientcomputers. Wanneer een clientcomputer waarop de Forefront TMG-client wordt uitgevoerd een Firewall-aanvraag doet, wordt de aanvraag voor verdere verwerking doorgestuurd naar de Forefront TMG 2010-computer. Er is geen speciale routeringsinfrastructuur vereist vanwege de aanwezigheid van het Winsock-proces. De Forefront TMG-client stuurt op transparante wijze gebruikersinformatie door bij elk verzoek, waardoor u een firewallbeleid op de Forefront TMG 2010-computer kunt maken met regels die gebruik maken van de inloggegevens die door de client zijn verzonden, maar alleen via TCP- en UDP-verkeer. Voor alle overige protocollen moet u een Secure NAT-clientverbinding gebruiken. Voor een lijst met redenen om de TMG-client te gebruiken, lees Tom Shinder op www.ISAserver.org:

Daarnaast standaard kenmerken eerdere versies van Firewall-clients, TMG-client ondersteunt:

  • HTTPS-inspectiemeldingen
  • Ondersteuning voor AD-markering

Standaard TMG Client Kenmerken

  • Op gebruikers of groepen gebaseerd firewallbeleid voor web- en niet-webproxy's via TCP- en UDP-protocollen (alleen voor deze protocollen)
  • Ondersteunt complexe protocollen zonder dat er een TMG-applicatiefilter nodig is
  • Vereenvoudigde routeringsconfiguratie voor grote organisaties
  • Automatische detectie van TMG-informatie op basis van DNS- en DHCP-serverinstellingen.

Systeem vereisten

De TMG-client heeft enkele systeemvereisten:

Ondersteund besturingssysteem

  • Windows 7
  • WindowsServer 2003
  • WindowsServer 2008
  • Windows Vista
  • Windows XP

Ondersteunde versies van ISA Server en Forefront TMG

  • ISA-server 2004 standaard editie
  • ISA Server 2004 Enterprise-editie
  • ISA Server 2006 Standaardeditie
  • ISA Server 2006 Enterprise-editie
  • Forefront TMG MBE (Medium Business Editie)
  • Forefront TMG 2010 standaardeditie
  • Forefront TMG 2010 Enterprise-editie

Ondersteuning van besturingssystemen

Cliënt/server – Compatibiliteit

TMG-clientinstellingen op TMG-server

Er zijn slechts enkele instellingen op de Forefront TMG-server die bepalen hoe de Forefront TMG-client zich gedraagt. Allereerst kunt u TMG-clientondersteuning inschakelen om het interne netwerk op de TMG-server te definiëren, zoals weergegeven in onderstaande figuur.

Figuur 1: TMG-clientinstellingen op TMG

Zodra TMG-clientondersteuning is ingeschakeld (dit is de standaardwaarde wanneer normale installatie TMG), kunt u ook de webbrowserconfiguratie op clientcomputers automatiseren. Tijdens normale TMG-clientverversingsintervallen of tijdens het opstarten van de service ontvangt de browser de instellingen die zijn geconfigureerd in de TMG-beheerconsole.

In de Applicatie-instellingen op de TMG-client in de TMG-console kunt u bepaalde applicatie-afhankelijkheidsinstellingen in- of uitschakelen.

Figuur 2: TMG-clientinstellingen

AD-markering

Microsoft Forefront TMG biedt een nieuwe functie om automatisch een TMG-server voor een TMG-client te detecteren. In tegenstelling tot eerdere versies van Firewall-clients kan de Forefront TMG-client nu het token gebruiken Actieve map om de bijbehorende TMG-server te vinden. De TMG-client gebruikt LDAP om de benodigde informatie op te zoeken in Active Directory.

Opmerking: als de TMG-client geen AD-token vindt, valt hij om veiligheidsredenen niet terug op het klassieke auto-discovery-schema via DHCP en DNS. Dit wordt gedaan om het risico te verkleinen dat een aanvaller een client probeert te dwingen minder te gebruiken veilige manier. Als de Active Directory-verbinding tot stand kan worden gebracht maar de AD Marker niet kan worden gevonden, vallen TMG-clients terug op DHCP en DNS.

TMGADConfig-tool

Om een ​​AD Marker-configuratie in Active Directory te maken, kunt u de TMG AD Config-tool downloaden van het Microsoft Downloadcentrum (u moet AdConfigPack.EXE vinden). Na het downloaden en installeren van de tool op TMG moet u de volgende opdracht uitvoeren in de interpreter om de AD-tokensleutel aan de registersleutel toe te voegen:

Tmgadconfig voegt "default" type winsock "url http://nameoftmgserver.domain.tld:8080/wspad.dat toe

U kunt de AD Marker-markering ook verwijderen met behulp van de tmgadconfig-tool als u besluit de AD Marker-ondersteuning niet te gebruiken.

Het installeren van de TMG-client

Meest laatste versie De TMG-client kan worden gedownload vanaf de website van Microsoft. Aan het einde van het artikel heb ik downloadlinks gegeven.

Start het installatieproces en volg de instructies van de wizard.

Figuur 3: Installatie van de TMG-client

U kunt de locatie van de TMG-server handmatig opgeven, of automatisch tijdens het installatieproces van de TMG-client. Na de installatie kunt u met behulp van de tool de parameters van het detectiemechanisme in de TMG-client opnieuw configureren TMG-instellingen client, die zich in de taakbalk van uw client bevindt.

Figuur 4: Een computer selecteren om de TMG-client te installeren

Geavanceerde automatische detectie

Als u het gedrag van het autodetectieproces wilt wijzigen, heeft de TMG-client dat nu nieuwe optie om de automatische detectiemethode te configureren.

Figuur 5: Geavanceerde automatische detectie

HTTPS-inspectiemeldingen

Microsoft Forefront TMG heeft nieuwe functie inspectie van HTTPS-verkeer voor uitgaande clientverbindingen. Om gebruikers over dit proces te informeren kan de nieuwe TMG-client worden gebruikt om gebruikers te informeren dat uitgaande HTTPS-verbindingen worden geïnspecteerd als u daar behoefte aan heeft. Daarnaast hebben TMG-beheerders de mogelijkheid om het notificatieproces centraal vanaf de TMG-server, of handmatig op elke Forefront TMG-client, uit te schakelen. Voor Extra informatie lees meer over het instellen van inspectie van uitgaand HTTPS-verkeer volgende deel Shindera

Figuur 6: Veilige verbindingen inspecteren

Als inspectie van uitgaande HTTPS-verbindingen is ingeschakeld en de optie om gebruikers op de hoogte te stellen van dit proces is ook ingeschakeld, gebruikers die de Forefront TMG-client op hun computer hebben geïnstalleerd, ontvangen een bericht dat lijkt op het bericht in de onderstaande afbeelding.

Microsoft Forefront Threat Management Gateway (TMG) 2010 is erg afhankelijk van de meeste diverse diensten om de netwerkbeveiliging en optimale prestaties te behouden. Het configureren van netwerkinterfaces en met name de naamresolutie speelt een sleutelrol, vooral als TMG is geconfigureerd als forward en reverse proxy. In mijn praktijk werden veel problemen met TMG veroorzaakt door onjuiste instelling DNS. In dit artikel wil ik het hebben over het instellen van netwerkinterfaces en DNS-serververeisten voor juiste resolutie namen in TMG.

Vereisten voor DNS-servers

Bij het kiezen van een DNS-server in TMG zijn er verschillende zaken waar u rekening mee moet houden: belangrijke factoren. Op enkele uitzonderingen na moet TMG zo worden geconfigureerd dat alleen interne DNS-servers worden gebruikt die kunnen worden omgezet innerlijke ruimte adressen als externe adressen. Om een ​​probleemloze werking te garanderen DNS-gegevens servers moeten verbonden zijn via snelle verbindingen en over voldoende middelen beschikken om alle binnenkomende verzoeken om naamomzetting met succes te verwerken. Dit is geheel afhankelijk van hoeveel gebruikers er op TMG zijn aangesloten en hoe deze zijn aangesloten. De Web Proxy Client en TMG Client zijn voor de naamresolutie volledig afhankelijk van TMG, waardoor de belasting op DNS-servers toeneemt. SecureNAT-clients voeren de resolutie zelf uit. Als de DNS-servers overbelast zijn of er zijn communicatieproblemen tussen TMG en DNS, kunt u bij TMG verschillende problemen ervaren. Dit kan bijvoorbeeld resulteren in langzaam laden van pagina's of een authenticatieverzoek voor gebruikers die op transparante wijze moeten worden geverifieerd met behulp van NTLM of Kerberos.

Configuratie van de netwerkinterface

Het opzetten van een netwerkinterface in TMG met één netwerkinterface is heel eenvoudig: IP-adres, masker, gateway en DNS-servers worden allemaal geconfigureerd in lokale interface. De situatie wordt iets ingewikkelder als er meerdere netwerkinterfaces zijn. Als TMG meerdere netwerkinterfaces heeft, moet elke interface een eigen uniek IP-adres en subnetmasker hebben. Ongeacht hoeveel netwerkinterfaces u echter heeft, u kunt slechts één standaardgateway hebben, en wel op de externe interface. Configureer nooit een standaardgateway op een andere interface dan de externe interface (tenzij u ISP-redundantie instelt, waarbij beide externe interfaces hun eigen standaardgateways hebben). Als u toegang wilt krijgen tot een extern subnet binnen het netwerk of op het perimeternetwerk, gebruikt u permanente statische routes.

De volgorde van toewijzing van netwerkinterfaces

Voor TMG met meerdere netwerkinterfaces is er nog een instelling die heel vaak en onredelijk wordt vergeten. Dit is de volgorde waarin netwerkinterfaces zijn gebonden. Open Netwerkcentrum, klik op koppeling Verander adapterinstellingen. Klik vervolgens op Geavanceerd En Geavanceerde instellingen…

Selecteer een tabblad Adapters en bindingen en zorg ervoor dat de interne netwerkinterface staat op de eerste plaats op de lijst. Als dit niet het geval is, selecteert u deze en verplaatst u deze met de pijlen aan de rechterkant naar de eerste plaats.

DNS-instellingen

DNS-servers mogen alleen op de interne interface worden opgegeven. Configureer DNS niet op een andere interface. Erg veel voorkomende fout is wanneer beheerders dit aangeven DNS-adressen providerservers op de externe interface, naast de interne DNS-servers die zijn opgegeven op de interne interface.

Uitzondering op de regel

Er is slechts één type TMG-implementatie waarmee DNS-servers op de externe interface kunnen worden opgegeven. In dit scenario is TMG geen domeinlid en niet gekoppeld aan interne bronnen.

Interne root-DNS-servers

In sommige situaties kunnen interne DNS-servers geen externe adressen omzetten. Dit kan bijvoorbeeld het geval zijn wanneer interne DNS-servers zijn geconfigureerd als root-servers voor uw interne naamruimte. De eisen van TMG blijven echter ongewijzigd. De werking ervan vereist de mogelijkheid om zowel interne als externe adressen op te lossen.

In dit scenario moet u de DNS-server zo configureren dat TMG aan deze vereisten voldoet. De beste manier Dit wordt gedaan door een speciale caching DNS-server op te zetten waarop doorsturen is geconfigureerd.

Hulpvolle informatie

sivpk.ru - een site over het kiezen en monteren van een computer. Hier leest u over de keuze en samenstelling van een gaming-, multimedia- en kantoorcomputer.

Een interessante site met een gedetailleerd overzicht van hosting en andere interessante artikelen over het kiezen van hosting, tools voor webmasters en nog veel meer.

Microsoft Forefront Threat Management Gateway 2010 ondersteunt alleen besturingssystemen Windows-systemen Server 2008 SP2 of Windows Server 2008 R2.

Minimale systeemvereisten:

  • Ondersteunde besturingssystemen: Windows Server 2008 SP2 of Windows Server 2008 R2;
  • computer met dual core (1 CPU x twee cores) 64-bits processor;
  • 2 GB RAM;
  • één lokale harde schijfpartitie met bestandssysteem NTFS;
  • quad-core computer (2 CPU x twee cores of 1 CPU x vier cores) 64-bits processor;
  • 4 GB RAM
  • 2,5 GB vrije ruimte op uw harde schijf (wordt alleen gebruikt voor caching en tijdelijke opslag van bestanden tijdens het controleren op beschikbaarheid malware);
  • twee schijven voor begeleiding systeemlog en TMG-logboek en één voor cachen en controleren op malware;
  • één netwerkkaart die compatibel is met het besturingssysteem van de computer voor interactie met het interne netwerk;
  • extra netwerkkaart voor elk netwerk dat is aangesloten op de Forefront TMG-server.

Productinstallatie

Een uitgebreide reeks programma's voor het garanderen van netwerkbeveiliging, waarmee u de betrouwbaarheid van de beveiliging kunt vergroten en de controle over client en server kunt versterken besturingssystemen, dankzij integratie met bestaande IT-infrastructuur en vereenvoudiging van implementatie, beheer en analyse.

Dankzij de inspanningen van Microsoft volledige versie product (Forefront TMG), dat een directe opvolger is van Microsoft ISA Server, werd in de eerste helft van 2009 uitgebracht. Naast alle functionaliteit van Microsoft ISA Server bevat het nieuwe product verbeteringen aan bestaande, evenals vele nieuwe functies.

Forefront TMG wordt verkocht in twee smaken: Standard en Enterprise. Functioneel zijn ze vrijwel hetzelfde; de ​​enige verschillen zitten in de licentiebeperkingen, die hieronder worden gegeven.

Verwerkers

Geen grenzen

Ondersteuning van 2 GB RAM

Geen grenzen

Netwerktaakverdeling

Ondersteuning voor Cache Array Routing-protocol

Met behulp van de Enterprise Management Console

De noodzaak om alle virtuele machines per CPU te licentiëren, naast de fysieke CPU

Mogelijkheid tot overdracht naar een andere server

De vergunning is afgegeven voor fysieke server en kan slechts één keer per 90 dagen worden gewijzigd

Altijd

* Standard Edition-servers kunnen worden beheerd via de TMG Enterprise Management Console.

Figuur 1: Installatievenster Forefront Threat Management Gateway

Zo ziet het installatievenster eruit. Onmiddellijk voordat we het product installeren, moeten we de voorbereidingstool uitvoeren, waarmee Windows-rollen en -componenten worden geconfigureerd.

Figuur 2: Forefront Threat Management Gateway pre-installatietool

Nadat de voorbereidingstool zijn werk heeft gedaan, kunt u direct doorgaan met de installatie zelf. Forefront-gateway voor bedreigingsbeheer die in drie fasen plaatsvindt:

  • installatie van hoofdcomponenten;
  • extra componenten (SQL Express);
  • systeem initialisatie.

Figuur 3: Installatiestappen voor Forefront Threat Management Gateway

In de eerste fase van de installatie wordt u gevraagd de map te selecteren waarin het product zal worden geïnstalleerd, en het bereik van adressen op te geven die in het interne netwerk van de server zullen worden opgenomen. Forefront-gateway voor bedreigingsbeheer.

Figuur 4: Intern netwerkbereik definiëren

De installatie wordt uitgevoerd met behulp van een speciale wizard en veroorzaakt geen problemen.

Figuur 5: IP-adressen selecteren

Nadat u de netwerkkaart hebt opgegeven, worden de reeksen IP-adressen die in het interne netwerk van de server worden opgenomen, automatisch vervangen.

Figuur 6: Een netwerkkaart selecteren

Het enige wat we hoeven te doen is onze keuze bevestigen door op te drukken OK en de installatiewizard waarschuwt ons dat sommige services worden gestopt of opnieuw worden gestart tijdens de installatie van het product, waarna alles automatisch gebeurt.

Het installatieproces is zo ontworpen dat het zelfs voor de gemiddelde gebruiker geen vragen oproept, hoewel het product zelf is ontworpen om systeembeheerders en IT-specialisten. Het moet gezegd worden dat Microsoft om zijn gebruikers geeft en alles uiterst eenvoudig en duidelijk probeert te maken.

Helemaal aan het einde van de installatie verschijnt er een venster voor ons waarin we worden geïnformeerd dat de installatie is voltooid en dat we nu het beheerprogramma moeten uitvoeren Forefront-gateway voor bedreigingsbeheer.

Figuur 7: Installatie van Forefront Threat Management Gateway voltooid

Vink het vakje naast het voorgestelde item aan en klik op Voltooien. Op dit punt is de installatie voltooid en gaan we verder met het instellen van het product.

Initiële setup

De productinterface verschijnt voor ons, maar die we in dit stadium nog niet nodig hebben, wordt voorgesteld om de eerste installatie van het programma uit te voeren met behulp van een speciale wizard die de volledige installatie in drie fasen zal uitvoeren.

Figuur 8: Forefront Threat Management Gateway initiële installatiewizard

Onderaan het venster zien we een waarschuwing dat in geval van een upgrade van MicrosoftISA2006 Het importeren van configuratie-instellingen moet worden gedaan voordat deze wizard wordt uitgevoerd.

Nu moeten we de eenvoudige instructies van de wizard volgen om dit te doen Voorop TMG werkte op de manier die wij nodig hadden. In de eerste stap zullen we de netwerkparameters configureren.

Figuur 9: Forefront TMG-netwerkinstellingen configureren

Selecteer de methode die we nodig hebben en klik Verder, op dit punt is deze configuratiefase voltooid en stelt de wizard voor om verder te gaan met het configureren van het systeem.

Figuur 10: Forefront TMG-netwerkinstellingen configureren

We configureren de items die we nodig hebben en selecteren Verder, dit is waar de wizard zijn werk beëindigt en we nog één configuratie-item over hebben: het instellen van implementatieparameters Voorop TMG. Hier moeten we er eerst voor kiezen om de Microsoft Update-service te gebruiken om de functionaliteit van de beveiligingsmechanismen die deze gebruikt te garanderen Voorop TMG.

Figuur 11: Microsoft Updates voor Forefront TMG installeren

Figuur 12: Forefront TMG-beveiligingsinstellingen configureren

In de volgende fase wordt ons gevraagd de door ons geselecteerde componenten te configureren.

Figuur 13: Updates van antivirusdatabases configureren

Hier laten we alles achter in overeenstemming met de aanbevolen parameters en klikken Verder. In dit stadium biedt Microsoft ons deelname aan een programma dat al bekend is geworden met de producten van deze leverancier, en dat helpt verbeteren software. Om dit te doen, worden bepaalde gegevens van onze computer verzameld, zoals hardwareconfiguratie en gebruiksinformatie Voorop TMG, de gegevensverzameling vindt anoniem plaats, dus selecteren we het item dat ons wordt aanbevolen.

Voor degenen die om wat voor reden dan ook dit programma niet vertrouwen, is er een mogelijkheid om deelname te weigeren, hoewel dit naar mijn mening absurd is, we hebben onze veiligheid al aan dit product toevertrouwd, dus het heeft geen zin om aan dit programma te twijfelen , er gaat geen persoonlijke informatie met de computer.

Figuur 14: Programma voor verbetering van de softwarekwaliteit

Bij de volgende stap wordt ons gevraagd het niveau van deelname aan het programma te selecteren Microsoft-telemetrierapportage. Met deze service kunnen Microsoft-specialisten de identificatiepatronen van aanvallen verbeteren en oplossingen ontwikkelen om de gevolgen van bedreigingen te beperken. We gaan akkoord met het gebruikelijke deelnameniveau en klikken Verder.

Figuur 15: Lidmaatschapsniveau voor Microsoft Telemetry Reporting selecteren

Met deze stap wordt de initiële installatiewizard voltooid.

Figuur 16: De wizard Webtoegang starten

Klik Dichtbij en start daarmee onmiddellijk de wizard Webtoegang instellen. De eerste stap is dat u ervoor kunt kiezen regels te maken die de minimaal aanbevolen categorieën URL's blokkeren.

Figuur 17: Beleidsregels voor webtoegang

In deze stap selecteren we de aanbevolen actie, d.w.z. regels zullen ontstaan. Vervolgens moet u kiezen welke categorieën websites u de toegang voor gebruikers wilt blokkeren. Indien nodig kunt u uw eigen groep websites toevoegen om te blokkeren, een van de vooraf ingestelde websites wijzigen en de mogelijkheid hebben om uitzonderingen te maken.

De relatie van een hulpmiddel met een bepaald type toewijzing wordt uitgevoerd met behulp van een verzoek om Microsoft-reputatieservice worden webadressen via een beveiligd kanaal naar de server verzonden.

Daarna gaan we verder met de parameters voor het controleren van verkeer op malware. Uiteraard selecteren wij de aanbevolen actie zodat ons HTTP-verkeer wordt gefilterd Voorop TMG.

Het is belangrijk om de optie te noteren om de overdracht van met een wachtwoord beveiligde archieven te blokkeren. In dergelijke archieven kunnen kwaadaardige bestanden of andere ongewenste inhoud opzettelijk worden verzonden om scannen te voorkomen.

Figuur 19: Scanopties voor malware

De volgende stap is het configureren van de actie met betrekking tot HTTPS-verkeer: controleer het of niet, controleer certificaten of niet.

Figuur 20: HTTPS-inspectie-instellingen in Forefront TMG

We staan ​​gebruikers toe HTTPS-verbindingen te maken met websites. We inspecteren dit verkeer niet, maar blokkeren het wel als het gebruikte certificaat ongeldig is.

Laten we verder gaan met de instellingen voor webcaching van veelgevraagde inhoud, die wordt gebruikt om de toegang tot populaire websites te versnellen en de kosten van het bedrijf voor webverkeer te optimaliseren.

Figuur 21: Webcaching configureren

We schakelen deze optie in en geven de schijfruimte en de grootte aan waar de gegevens in de cache worden opgeslagen. Hiermee is de configuratie van het webtoegangsbeleid voltooid.

Afbeelding 22: Installatie van webtoegang voltooien

Op basis van de resultaten van de installatie en de eerste configuratie zou ik willen zeggen dat u met het installatieprogramma zeer flexibele instellingen kunt maken Voorop TMG, een stelletje standaard circuits geleverd door het installatieprogramma zelf, krijgen we de mogelijkheid om ze te bewerken, evenals de mogelijkheid om onze eigen voorwaarden en beleid te creëren die volledig aan onze behoeften voldoen.

Forefront TMG-functionaliteit

Laten we nu naar de binnenkant kijken Voorop TMG en volgens de traditie beginnen we met de interface, die is gemaakt volgens het principe ‘het kan niet eenvoudiger’. De gehele interface is verdeeld in drie kolommen, elke kolom bevat duidelijk gedefinieerde informatie die deze bevat, die in drie elementen kan worden onderverdeeld:

  • knooppuntnaam;
  • functionaliteit en statistieken van de werking ervan;
  • taken die met dit knooppunt kunnen worden uitgevoerd.

Laten we, om het duidelijker te maken, het concept bekijken aan de hand van een specifiek voorbeeld.

Weergave beschermingsstatus

Figuur 23: Forefront TMG-bedieningsstatuspaneel

Aan de linkerkant zien we de naam van het knooppunt - Paneel, aangegeven in het midden diverse informatie over modules en werkstatistieken, en in de meest rechtse kolom zien we een taak die kan worden voltooid - Update en we zullen dit concept zien door er een te kiezen
knooppunt Voorop TMG, ook in de rechter (3) kolom staat meestal hulp bij dit knooppunt en deze taken.

Dit is een erg handig concept voor het bouwen van een interface, alles is “in het volle zicht” voor onze ogen. Hoofdstuk Paneel- dit is een momentopname van het activiteitenoverzicht Voorop TMG, uitgevoerd in realtime. Alle belangrijke informatie wordt op één scherm weergegeven, waardoor u problemen snel kunt identificeren en oplossen.

We hebben al naar het allereerste blok gekeken, dus laten we verder gaan met het gedeelte Observatie. In de kern is dit gedeelte een transcriptie van de gebeurtenissen die we op het scherm zien Paneel.

Observatie van gebeurtenissen

Figuur 24: Monitoren van de huidige status van Forefront TMG

Dit gedeelte is verdeeld in vijf tabbladen:

  • waarschuwingen;
  • sessies;
  • verbindingscontroleurs;
  • Diensten;
  • configuratie.

Waarschuwingen- dit is een reactie Voorop TMG voor een specifieke gebeurtenis. Voor gebruiksgemak en gebruiksgemak zijn identieke waarschuwingen gegroepeerd. In het rechterblok krijgen we de mogelijkheid om definities te configureren.

Sessies– Sessiebewakingsfunctie Voorop TMG Hiermee kunt u het klantverkeer in realtime centraal monitoren. Het is mogelijk om het filter te wijzigen, de monitoringsessie te pauzeren en te stoppen.

Figuur 25: Monitoringsessies in Forefront TMG

Verbindingstesters- met deze functie kunt u regelmatig verbindingen controleren specifieke computer of URL's naar uw computer Voorop TMG.

Figuur 26: Controle van verbindingstesten in Forefront TMG

Diensten– servicebewakingsfunctie Voorop TMG live. Het is mogelijk om individuele services te stoppen en in te schakelen.

Figuur 27: Monitoring Forefront TMG Services

Configuraties– functie voor het in realtime volgen van configuratiereplicatie op elk array-element.

Nu zullen we naar de sectie kijken Beleid firewall , waar u firewallbeleidsregels kunt definiëren om toegang tot verbonden netwerken, websites en servers toe te staan ​​of te weigeren om netwerkmiddelen te beschermen.

Beleid inzake internettoegang

Voorop TMG biedt kansen flexibele instellingen regels en beleid voor verkeersfiltering: regels toevoegen of verwijderen, en wijzigingen aanbrengen in bestaande regels.

Figuur 28: Firewallbeleid in Forefront TMG

Figuur 29: Firewallbeleidstaken in Forefront TMG

Elke taak wordt uitgevoerd met behulp van een duidelijke en toegankelijke installatiewizard.
IN Voorop TMG er is een nieuw configuratieknooppunt genaamd Webtoegangsbeleid.

Filteren van webverkeer

Dit knooppunt bevat alle instellingen voor de webproxyservice, parameters voor gebruikerstoegang tot internetbronnen via de protocollen HTTP, HTTPS, FTP-over-HTTP (tunneled FTP), evenals configuratieparameters voor de module voor het controleren van gebruikersverkeer op kwaadaardige code– Malware-inspectie.

Figuur 30: Webtoegangsbeleid in Forefront TMG

In de rechterhoek zien we de taken die door dit knooppunt kunnen worden uitgevoerd. Dit knooppunt bevat een component die verkeer controleert op malware: Inspectie van malware-inhoud.

Deze module gebruikt Microsoft-engine Antimalware Engine en stelt u in staat HTTP- en getunneld FTP-verkeer van webproxyclients te inspecteren.
Bovendien kunt u het verkeer van zelfs uitgaande HTTPS-verbindingen controleren! In dit geval de gebruiker wiens SSL-sessie wordt gecontroleerd Malware-module Inspectie ontvangt melding van dit proces. Ook is het mogelijk om bepaalde websites uit te sluiten van scannen.

Figuur 31: Instellingen verkeersinspectiemodule

Bij het downloaden van bestanden groot volume de gebruiker kan informatie worden getoond over het proces van het controleren van gedownloade bestanden op schadelijke code.

Nu zullen we kijken naar het volgende knooppunt, dat wordt genoemd Beleid E-mail .

E-mailfiltering

Voorop TMG fungeert als een relay tussen interne SMTP-servers en externe SMTP-servers die zich buiten de organisatie bevinden, en past e-mailbeleid toe op doorgestuurde berichten.

Figuur 32: Forefront TMG e-mailfilterbeleid

In de rechterkolom zijn de taken aangegeven die door dit knooppunt worden uitgevoerd, conform het concept dat we aan het begin van de review hebben besproken. Het volgende knooppunt waar we naar zullen kijken is Inbraakpreventiesysteem.

Inbraakpreventiesysteem (IPS)

Voorop TMG omvat een netwerkgebaseerd inbraakdetectiesysteem (N-IDS), ontwikkeld door Microsoft Research en genaamd GAPA. In tegenstelling tot een gedeeltelijke implementatie van de functionaliteit van het dat in ISA Server wordt gebruikt, is GAPA dat wel een volwaardig systeem N-IDS.

Microsoft belooft die handtekeningen netwerk aanvallen om de functionaliteit van GAPA uit te breiden, worden periodiek geleverd in de vorm van updatepakketten via de Microsoft Update-service.

Figuur 33: Inbraakpreventiesysteem

De centrale kolom bevat de namen van de handtekeningen van netwerkaanvallen en de standaardactie die zal worden ondernomen. Ook in dit knooppunt bevindt zich een module Gedragsmatige inbraakdetectie, kunt u instellingen configureren om vermoedelijke inbraken te detecteren op basis van netwerkactiviteitsgegevens.

Figuur 34: Gedragsmatige inbraakdetectie in Forefront TMG

In deze sectie wordt voorgesteld de detectie-instellingen voor de meest voorkomende aanvallen te configureren.

Figuur 35: Inbraakdetectie configureren

Er is ook detectie van DNS-aanvallen.

Afbeelding 36: Filterregels configureren (IP-parameters)

Indien nodig kunt u het blokkeren van IP-fragmenten inschakelen.

Afbeelding 37: Instellingen voor preventie van overstromingsaanvallen configureren

IN Voorop TMG ondersteuning voor het SIP-protocol is geïmplementeerd, evenals de VoIP (Voice over IP) NAT Traversal-functie, waardoor dit type verkeer gaat via gateways met de vertaaldienst netwerkadressen(NAT). U kunt uitzonderingen instellen voor IP-adressen en quota's toewijzen slokje.

Beleid voor toegang op afstand

Figuur 38: RAS-beleid in Forefront TMG

In deze sectie kunt u virtuele prive netwerk VPN, waarmee twee computers kunnen communiceren via een openbaar netwerk, waarbij een privé point-to-point-verbinding wordt gesimuleerd.

IN Voorop TMG Er is ondersteuning voor het SSTP-protocol (Secure Socket Tunneling Protocol) geïmplementeerd, waarmee u VPN-sessieverkeer kunt tunnelen binnen het reguliere HTTP-protocol binnen een SSL-sessie. Met dit mechanisme kunt u naadloos VPN-verbindingen tot stand brengen, ongeacht de configuratie van de firewall, webproxyserver of netwerkadresvertaalservice. Op dit moment Deze technologie wordt alleen ondersteund door Windows Vista SP1 en Windows Server 2008.

Netwerkinstellingen

Dit knooppunt is verdeeld in zeven tabbladen:

  • Netwerken- instelling netwerkomgeving, wordt uitgevoerd door netwerken en de relaties daartussen te definiëren.
  • Netwerksets- het groeperen van netwerken in sets die in regels kunnen worden gebruikt Voorop TMG.
  • Netwerkregels– bepaal de aanwezigheid van een verbinding tussen netwerken en het type ervan.
  • Netwerkkaarten– In dit gedeelte vindt u verbindingsinformatie voor elke geïnstalleerde netwerkkaart.
  • Routering– Presenteert informatie over elke statische en actieve route in het systeem.
  • Web keten– Voor een webproxyclientverzoek moet u de webketenregels opstellen die nodig zijn om te bepalen hoe dergelijke verzoeken worden gerouteerd.
  • IPS-redundantie– ISP-redundantiebewaking, waarmee u de verdeling van het verkeer tussen twee ISP-verbindingen kunt controleren.

Figuur 39: Netwerkinstellingen in Forefront TMG

IN Voorop TMG functie geïmplementeerd ISP-linkredundantie, waarmee u een fouttolerante verbinding met internet via twee ISP-kanalen tegelijk kunt organiseren. Bovendien zijn zowel hot backup van een internetkanaal als het balanceren van de netwerkbelasting tussen internetkanalen mogelijk. Tenslotte is het mogelijk om specifiek netwerkverkeer via een specifiek internetkanaal te routeren!

Systeem instellingen

Dit knooppunt is verdeeld in drie tabbladen:

  • servers;
  • applicatiefilters;
  • webfilters.

Figuur 40: Systeeminstellingen in Forefront TMG

Tab Servers presenteert informatie over alle servers in de configuratie Voorop TMG. Applicatiefilters bieden een extra beveiligingslaag en kunnen protocol- en systeemspecifieke taken uitvoeren, zoals authenticatie en viruscontrole. Webfilters kan de verzonden gegevens monitoren, analyseren en onderscheppen HTTP-protocol tussen lokaal netwerk en internet.

Logboeken en rapporten

Tab Loggen- hier wordt informatie verzameld over gebeurtenissen die op de computer hebben plaatsgevonden Voorop TMG. Bij het kiezen Verzoek uitvoeren real-time gebeurtenisgegevens met een gedetailleerde beschrijving van de gebeurtenis zullen in het logboek verschijnen.

Op het tabblad "Rapport" werkrapporten worden gegenereerd Voorop TMG gebaseerd op logbestanden die de activiteiten registreren die op de computer worden uitgevoerd. Het rapport kan eenmalig worden gegenereerd of worden geconfigureerd om periodieke rapporten te genereren.

Figuur 41: Logboeken en rapporten in Forefront TMG

Centrum bijwerken

Figuur 42: Forefront TMG Update Center

Dit knooppunt geeft de status weer van Microsoft-updates die zijn geïnstalleerd deze server Voorop TMG. Standaard worden de definities elke 15 minuten gecontroleerd.

Probleemoplossen

Op het tabblad Probleemoplossen aangeduid handige links voor materialen over onderhoud en probleemoplossing gerelateerd aan Voorop TMG.

Figuur 43: Probleemoplossing

Indien ingeschakeld Spoorwissel en er een configuratiewijziging wordt toegepast, wordt informatie over deze wijzigingen vastgelegd als een record in deze sectie. Verkeerssimulator Hiermee kunt u het firewallbeleid evalueren op basis van verschillende gespecificeerde parameters.

Prestatie Verzameling van diagnostische gegevens Hiermee kunt u de diagnostische logdatabase opvragen op basis van filtercriteria.
Connectiviteit controleren helpt om te controleren of de servers dat kunnen Voorop TMG verbinding maken met specifieke bestemmingsknooppunten
op internet.

Hiermee is onze beoordeling afgerond en het enige wat we kunnen doen is definitieve conclusies trekken en het product evalueren:

conclusies

Forefront TMG is zeer functioneel, flexibel te configureren, eenvoudig te integreren en compliant moderne eisen software geïntegreerde beveiliging bedrijfsnetwerken. Naar onze mening zullen eenvoud en efficiëntie toenemen zakelijke klanten op deze beslissing bij het kiezen van bescherming voor uw bedrijfsnetwerk.

Forefront TMG vertegenwoordigt een nieuwe generatie internetgateway-beveiligingssystemen voor bedrijfsnetwerken, die misschien alle noodzakelijke functies bevatten en in de nabije toekomst zijn voorganger Microsoft ISA Server 2006 ernstig zouden moeten vervangen.

Kleine nadelen van Forefront TMG zijn onder meer het ontbreken van een verkeersquotasysteem ( automatische uitschakeling gebruiker wanneer de limiet is bereikt) en de afwezigheid antivirusscan FTP-verkeer. Echter, onze subjectieve beoordeling oplossingen Forefront Threat Management Gateway 9 van de 10.

We zullen de TMG-versie van de firewall op de virtuele machine installeren (TMG wordt alleen geïnstalleerd op een server met Windows Server en alleen op 64-bit...), en dit virtuele machine zal worden uitgerust met twee netwerkinterfaces:
Een externe interface die via een bridge is verbonden met een productienetwerk dat toegang biedt tot internet (type Network Bridge), en
Een interne interface die alleen verbinding biedt met andere virtuele machines (intern netwerktype).

We hebben het installeren van Windows Server op een virtuele machine besproken in het artikel:

We hebben ook een virtuele machine nodig met geconfigureerd DNS server(we gebruiken Windows Server 2008 R2 met geïnstalleerde DNS-server)
en één interne interface (intern netwerktype).

Na het downloaden van het bestand dubbelklikt u erop om de installatiewizard te openen:

Wachten tot het is uitgepakt:

Nadat u de bestanden hebt uitgepakt, ziet u een welkomstpagina:

Klik op “run Preparation tool” en er wordt een venster geopend:

Wij accepteren de licentieovereenkomst:

Vul uw gebruikersnaam en organisatie in:

Het netwerkkaartselectievenster wordt geopend (selecteer de interne netwerkkaart):

Aan het einde van de installatiewizard, in het geopende venster, vinkt u het vakje “run the management program” aan:

Er verschijnt een succesvolle installatiepagina en het venster van de initiële installatiewizard:

Klik in de wizard op “netwerkinstellingen configureren” en de netwerkinstallatiewizard wordt geopend:

Wij geven aan netwerk kaart intern netwerk:

We geven de netwerkkaart van het externe netwerk aan (DNS 192.168.137.1 is ingesteld in de schermafbeelding - dit is niet correct, er zou slechts één DNS-server op het interne netwerk moeten zijn en hier zou de DNS-serverkolom leeg moeten zijn):

Controleren van de juistheid:

In de initiële installatiewizard die wordt geopend, klikt u op “Systeemparameters instellen”:

In de wizard die wordt geopend, laat u alles voorlopig zoals het is:


Hier stellen we de update-instellingen in:

Hier laten we alles in overeenstemming met de aanbevolen parameters en klikken op Volgende. In dit stadium biedt Microsoft ons deelname aan een programma dat al bekend is geworden met de producten van deze leverancier, en dat helpt de software te verbeteren. Om dit te doen, worden bepaalde gegevens van onze computer verzameld, zoals hardwareconfiguratie en informatie over het gebruik van Forefront TMG. Het verzamelen van gegevens gebeurt anoniem, dus selecteren we het item dat ons wordt aanbevolen:

In de volgende stap wordt ons gevraagd het niveau van deelname aan het Microsoft Telemetry Reporting-programma te selecteren. Met deze service kunnen Microsoft-specialisten de identificatiepatronen van aanvallen verbeteren en oplossingen ontwikkelen om de gevolgen van bedreigingen te beperken. We gaan akkoord met het gebruikelijke deelnameniveau en klikken op Volgende:

Met deze stap wordt de initiële installatiewizard voltooid:

Klik op Sluiten en start daarmee onmiddellijk de wizard Webtoegang instellen. De eerste stap hierin is de optie om regels te maken die de minimaal aanbevolen categorieën URL's blokkeren:

In deze stap selecteren we de aanbevolen actie, d.w.z. regels zullen ontstaan. Vervolgens moet u kiezen welke categorieën websites u de toegang voor gebruikers wilt blokkeren. Indien nodig kunt u uw eigen groep websites toevoegen om te blokkeren, een van de vooraf ingestelde websites wijzigen, evenals de mogelijkheid om uitzonderingen te maken:

Daarna gaan we verder met de parameters voor het controleren van verkeer op malware. Uiteraard selecteren wij de aanbevolen actie zodat ons HTTP-verkeer door Forefront TMG wordt gefilterd.

Het is belangrijk om de optie te noteren om de overdracht van met een wachtwoord beveiligde archieven te blokkeren. In dergelijke archieven kunnen kwaadaardige bestanden of andere ongewenste inhoud specifiek worden verzonden om scannen te voorkomen:

De volgende stap is het configureren van de actie met betrekking tot HTTPS-verkeer - controleren of niet, certificaten controleren of niet:

Laten we verder gaan met de webcaching-instellingen voor veelgevraagde inhoud, die worden gebruikt om de toegang tot populaire websites te versnellen en de kosten van het bedrijf voor webverkeer te optimaliseren:

We schakelen deze optie in en geven de schijfruimte en de grootte aan waar de gegevens in de cache worden opgeslagen. Hiermee is de configuratie van het webtoegangsbeleid voltooid:

Wij controleren alles:

Op dit initiële setup voltooid.

Gerelateerde publicaties: