НТВ плюс 

Скорая помощь Forefront Threat Management Gateway. Установка Microsoft Forefront Threat Management Gateway в виртуальной среде Microsoft Hyper-V

Данный продукт пришел на смену системе Internet Security and Acceleration Server (ISA) 2006; он интегрируется с решением Forefront Protection Manager, ранее известным как Stirling (в данный момент продукт находится на этапе бета-тестирования, выпуск версии для производства запланирован в текущем году), обеспечивающим централизованное управление продуктами семейства Microsoft Forefront. Механизмы Forefront TMG подключаются к консоли Forefront Protection Manager через систему Security Assessment Sharing (SAS).

Редакции Forefront TMG 2010 Standard и Enterprise заменяют систему ISA 2006, при этом редакция Enterprise поддерживает развертывание массивов TMG и систем с неограниченным количеством процессоров, а также управление данными массивами и системами.

Представители Microsoft называют пакет Forefront TMG 2010 комплексным средством управления рисками. В состав Forefront входят возможности, недоступные системе ISA, в том числе проверка исходящего трафика SSL, проверка сети на основе предварительных описаний (NIS), блокирование вредоносных программ на шлюзе. Давайте рассмотрим основные возможности и базовую конфигурацию пакета Forefront TMG 2010.

Установка Forefront TMG 2010

Для работы Forefront TMG 2010 необходима операционная система Windows Server 2008 или Windows Server 2008 R2 (только 64‑разрядные редакции), 2 Гбайт оперативной памяти, 2,5 Гбайт свободного дискового пространства и хотя бы одна сетевая карта. Кроме того, потребуется установить службы.NET Framework 3.5, Windows PowerShell и Microsoft Message Queuing Service с интеграцией Directory Integration.

Вы можете загрузить дистрибутив Forefront TMG 2010 с сайта Microsoft. Для работы над данной статьей я установил Forefront TMG на сервер с системой Windows Server 2008 R2 с двумя сетевыми картами, одна из которых подключена к Интернету, а вторая - к моей локальной сети.

Мастер Preparation Tool будет направлять вас в процессе установки, позволяя выбрать набор необходимых компонентов. На выбор будет предложено три варианта установки пакета Forefront TMG: загрузка компонентов Forefront TMG Services и Forefront TMG Management, установка только компонента Forefront TMG Management и установка системы Enterprise Management Server (EMS) для централизованного управления массивом.

Массивы состоят из нескольких серверов TMG, работающих совместно для обеспечения высокой доступности и масштабируемости. Для простой тестовой конфигурации я выбрал установку компонентов Forefront TMG Services и Management, которые включают в себя службы Forefront TMG и консоль управления.

Сразу после завершения установки система Forefront TMG предлагает набор стартовых мастеров, предназначенных для настройки базовой конфигурации. Наиболее важным из них является мастер Network Settings, который позволяет выбрать топологию конфигурации межсетевого экрана. Процесс настройки оказался неожиданно простым для серверного продукта компании Microsoft.

Возможности Forefront TMG 2010

Система Forefront TMG совмещает в себе механизмы платформы ISA, такие как межсетевой экран, прокси-сервер и удаленный доступ, а также предоставляет комплексное решение для управления рисками. В состав Forefront TMG входят средства просмотра входящего и исходящего трафика HTTPS, средство блокирования загрузки вредоносного программного обеспечения через шлюз, усовершенствованная система инспектирования сети, а также система фильтрации адресов URL на основании их принадлежности к различным категориям, предназначенная для контроля использования сотрудниками ресурсов Интернета («управление производительностью» в терминах Microsoft).

Впервые корпоративный межсетевой экран от компании Microsoft работает на базе 64‑разрядных процессоров, при этом обеспечивается повышенная производительность и более тщательная проверка сети. Другая важная особенность системы Forefront TMG - возможность ее интеграции с пакетом Forefront Protection Manager, консолидирующим данные по вcем продуктам Forefront, что позволяет администраторам настраивать динамическую защиту от угроз, обнаруживаемых в сети.

Помимо мастеров, запускающихся после завершения установки, для настройки службы можно использовать вкладку Role Configuration на основном экране Forefront TMG, которая содержит прямые ссылки на различные экраны консоли. При этом, однако, дополнительные мастера настройки в системе отсутствуют.

Экраны мониторинга и управления (экран 1) обеспечивают обзор всех компонентов системы Forefront TMG, а также других сетевых служб, от которых зависит работа системы, таких как Active Directory (AD) и DNS.

Панель Tasks привязана к узлу Firewall Policy и содержит прямые ссылки на публикацию общих серверов, в частности службы SharePoint или Exchange Mail. В состав пакета Forefront TMG входит фильтр Session Initiation Protocol (SIP), который автоматически управляет открытием и закрытием портов Real Time Protocol (RTP) в сеансах VOIP.

Политика Web Access Policy включает аутентификацию на прокси-сервере, HTTP-сжатие, проверку протокола HTTPS, защиту от вредоносного программного обеспечения и кэширование. Фильтрация адресов URL на основе категорий базируется на информации, предоставляемой ресурсом Microsoft Reputation Services.

Система Forefront TMG, предоставляющая механизмы фильтрации спама и защиты от вирусов для систем Exchange, также может использоваться в качестве ретранслятора SMTP. Если система Forefront TMG установлена на тот же сервер, на котором развернуты службы Exchange Edge Server и Forefront Protection 2010 for Exchange, она может применяться для централизованного управления обменами SMTP, службой «антиспам», а также политиками блокировки вредоносного кода на периметре сети, обеспечивая при этом поддержку работы с массивами.

Механизм проверки сети на основе предварительных описаний в системе Forefront TMG (экран 2) основан на новой технологии от разработчиков Microsoft Research, Generic Application-level Protocol Analyzer (GAPA) и может быть использован для блокировки трафика, направленного к определенным сетевым ресурсам, при обнаружении шаблона атаки.

Проверка сети, также известная как виртуальное исправление (virtual patching), может потребоваться в ситуациях, когда для известной ошибки еще не разработано или не установлено исправление, особенно с учетом того, что новое описание может быть внедрено в систему очень быстро. Кроме того, в системе сохранены стандартные возможности, перешедшие из платформы ISA 2006, такие как обнаружение DNS-атак и предотвращение Flood-атаки.

Несмотря на то что в этом выпуске новым механизмам удаленного доступа уделено мало внимания, основным достоинством компонента TMG Remote Access является поддержка технологии Network Access Protection (NAP), используемой в системе Server 2008. Данная технология отвечает за применение политик работоспособности в тех случаях, когда VPN-клиенты подключаются к сети через систему TMG и заменяют собой громоздкую, построенную на основе сценариев технологию Network Access Quarantine (NAQ), используемую в системе Windows 2003.

В системе Forefront TMG также предусмотрена встроенная поддержка протокола SSTP, что позволяет пользователям Windows Vista и Windows 7 создавать подключения VPN через протокол HTTPS.

Дублирование ISP - превосходное решение для компаний, работающих с несколькими провайдерами услуг Интернета. Система Forefront TMG может не только обнаружить потерю соединения и переадресовать весь трафик в резервную сеть, но и обеспечить балансировку нагрузки между несколькими каналами (если одно из подключений более быстрое, большая часть трафика будет перенаправлена на него).

Как и платформа ISA, компонент Firewall Client системы Forefront TMG может создавать подробные отчеты о действиях пользователей и сетевом трафике. Модуль Firewall Client является дополнительным компонентом, который может быть установлен на рабочие станции и ноутбуки. Данный компонент особенно полезен в организациях с высокими требованиями к безопасности.

Модуль Firewall Client может быть настроен на использование службы каталогов AD для безопасного обнаружения доверенных веб- и прокси-серверов вместо протокола Web Proxy Auto-Discovery Protocol (WPAD), менее безопасного и более сложного в настройке.

Рассел Смит ([email protected]) - независимый ИТ-консультант, специализируется на управлении системами

Published on Февраль 13, 2009 by · Один комментарий

Если вы еще не слышали, то ISA Firewall постепенно выходит из производства. Последней версией ISA Firewall будет версия ISA 2006. Однако это не означает, что ПО ISA, которое мы полюбили за несколько лет его использования, совсем перестанет существовать. Хотя бренд ISA попадет в мусорную корзину истории, мы увидим следующую версию ISA Firewall с новым названием: Forefront Threat Management Gateway (шлюз управления внешними угрозами).

Существует несколько причин, по которым название ISA выходит из употребления. Но, вероятно, основная причина заключается в том, что общественности, кажется, не удавалось выяснить из названия, что собой представляет ISA Firewall. Некоторые считали, что это был просто веб прокси-сервер (в духе Proxy 2.0), другие думали, что это очередной брандмауэр, третьи считали его VPN сервером, четвертые считали, что это какой-то Франкенштейн или вообще не понимали ничего. Новое название должно обратить на Forefront TMG больше внимания, и, как надеются в компании, позволит людям понять основную задачу этого продукта.

В этой статье я расскажу вам о процессе установки. Однако прежде чем устанавливать TMG, вам нужно знать следующее:

  • TMG будет работать только на 64-разрядной Windows Server 2008. После выпуска RTM версии, появится 32-разрядная демо-версия TMG, но не будет никаких бета версий для 32-разрядной Windows
  • TMG требует как минимум 1 GB памяти (возможно, она будет работать и с меньшим объемом памяти, но очень медленно)
  • 150 MB свободного места на диске
  • По крайней мере одну сетевую карту (хотя я всегда рекомендовал два или более сетевых адаптера для обеспечения большей надежности)
  • Вам нужно установить стандартную папку на диск C:
  • TMG установит IIS 7 на вашу машину, чтобы поддерживать службы отчетов SQL. Если вы удалите TMG с машины, II7 не будет удален автоматически, поэтому вам придется делать это вручную
  • Службы и файлы драйверов для TMG устанавливаются в установочную папку TMG
  • Для версии beta 1 TMG, машина TMG должна входить в состав домена. В последующих бета версиях будут поддерживаться машины, не принадлежащие к доменам.

В этой серии статей (мы должны уложиться в две части) я устанавливаю TMG на машину Windows Server 2008 Enterprise, которая работает в качестве виртуальной машины (VM) на VMware Virtual Server 1.0. VM имеет два интерфейса: один интерфейс подключен через мост ко внешней сети и будет работать в качестве внешнего интерфейса, а второй интерфейс расположен на VMNet2, которая будет интерфейсом внутренней сети по умолчанию. Обратите внимание, что модель построения сети для TMG не изменилась по сравнению с конфигурацией, используемой ISA Firewall.

TMG является одним из элементов ПО, включенных в коллекцию продуктов Forefront Stirling. Вы можете скачать их все или только TMG. TMG будет отлично работать без Stirling, но Stirling – это определенно то, о чем вы захотите узнать в будущем.

Дважды нажмите на файле, который вы скачали. У вас откроется приветственная страница Добро пожаловать в мастера установки Forefront Threat Management Gateway . Нажмите Далее .

Рисунок 1

Установите файлы в место по умолчанию, коим будет . Нажмите Далее .

Рисунок 2

Файлы будут извлечены в эту папку.

Рисунок 3

Нажмите Завершить , когда процесс извлечения закончится.

Рисунок 4

Перейдите в папку C:\Program Files (x86)\Microsoft ISA Server и дважды нажмите на файле ISAAutorun.exe .

Рисунок 5

У вас откроется диалоговое окно Microsoft Forefront TMG 270-Day Evaluation Setup . Нажмите по ссылке Установить Forefront TMG .

Рисунок 6

Это вызовет приветственное окно мастера установки Welcome to the Installation Wizard for Microsoft Forefront Threat Management Gateway . Нажмите Далее .

Рисунок 7

На странице Лицензионное соглашение выберите опцию Я принимаю условия лицензионного соглашения и нажмите Далее . Обратите внимание на то, что лицензионное соглашение все еще содержит старое кодовое название продукта Nitrogen .

Рисунок 8

На странице Информация потребителя введите ваше Имя пользователя и Организации . Серийный номер продукта будет уже введен за вас. Нажмите Далее .

Рисунок 9

Здесь мы встречаем новую опцию установки, которая не была доступна в предыдущих версиях продукта. На странице Сценарии установки у вас есть возможность установить Forefront TMG или только консоль управления TMG. В этом примере мы будем устанавливать продукт полностью, поэтому выберем Установить Forefront Threat Management Gateway и нажмем Далее .

Рисунок 10

На странице Выбор компонентов у вас есть возможность установить программное обеспечение брандмауэра TMG, консоль управления TMG, и CSS. Да, вы догадались. Больше нет версий Standard и Enterprise брандмауэра ISA. TMG будет продаваться, как единое издание, и это единое издание использует CSS, даже если у вас есть массив ТMG только с одним членом. Однако вы сможете создавать массивы, используя TMG, но это функция недоступна в бета версии TMG и будет доступна только в последующих бета версиях.

В данном примере мы установим все компоненты в папку по умолчанию. Нажмите Далее .

Рисунок 11

Похоже, что у меня возникла проблема. Хотя машина и входит в домен, я забыл войти под именем пользователя, который принадлежит домену. Чтобы установить TMG, вы должны войти под именем пользователя, который обладает правами локального администратора на машине TMG.

Рисунок 12

Кажется, мне придется перезапускать установку. Мы продолжим с того места, на котором остановились, после того как выйду из системы, снова зайду под нужной учетной записью и перезапущу процесс установки.

Рисунок 13

Теперь, когда я вошел под именем пользователя домена с правами локального администратора, мы продолжим процесс установки со страницы Внутренняя сеть . Если вы устанавливали ISA Firewall, вы узнаете эту страницу, поскольку она похожа на ту, что использовалась в предыдущих версиях ISA Firewall. Здесь вы указываете внутреннюю сеть по умолчанию. В большинстве случаев вам нужно выбрать опцию Добавить адаптер , поскольку это определит вашу стандартную внутреннюю сеть на основе таблицы маршрутизации, настроенной на ISA Firewall. Однако я не знаю, если поменять конфигурацию таблицы маршрутизации на ISA Firewall, изменится ли автоматически определение стандартной внутренней сети. Ставлю двадцать пять долларов, что нет, но лучше мы проверим это в будущем.

Рисунок 14

Страница Внутренняя сеть показывает определение внутренней сети по умолчанию. Нажмите Далее .

Рисунок 15

Страница Предупреждение службы информирует вас о том, что Служба SNMP , Служба администрирования IIS , Служба публикации World Wide Web Publishing Service и Служба Microsoft Operations Manager будут перезапущены во время процесса установки. Скорее всего, вы еще не установили роль веб сервера на эту машину, поэтому вам нет нужды беспокоиться о службах IIS Admin Service и World Wide Web Publishing Service, но вы должны быть в курсе перезапуска служб SNMP и Microsoft Operation Manager Service. Помните, TMG установит и настроит IIS 7 за вас.

Рисунок 16

Нажмите Установить на странице Мастер готов установить программу .

Рисунок 17

Строка прогресса будет отображать статус установки. Здесь видно, как устанавливается CSS.

Рисунок 18

Получилось! Страница Работа мастера установки завершена показывает, что процесс установки успешно завершен. Ставьте флажок напротив строки Запустить Forefront TMG Management после завершения установки . Нажмите Завершить .

Рисунок 19

На данном этапе вы увидите веб страницу Защитить сервер Forefront TMG . Здесь вам предоставлена информация о включении Microsoft Update, запуске ISA BPA, и чтении раздела Защита и безопасность файла помощи. Пока что я могу сказать о файле помощи одно, производители проделали отличную работу по обновлению его содержания. Он содержит гораздо больше информации, причем информации, гораздо больше приближенной к реальным условиям установки, включенной в новый усовершенствованный файл помощи. Я рекомендую вам потратить некоторое время на его прочтение. Я гарантирую вам, что если вы являетесь бывалым администратором ISA Firewall, файл помощи TMG даст вам много нового.

Рисунок 20

После завершения первичной установки, у вас откроется новый мастер Getting Started Wizard . Мастер Getting Started Wizard является новым компонентом, который представлен только для TMG и отсутствовал в предыдущих версиях ISA Firewall. Он включает в себя три базовых мастера, и необязательного четвертого, которого мы рассмотрим после того, как разберемся с первыми тремя.

Первый мастер – это Мастер настройки параметров сети . Перейдите по ссылке Настроить параметры сети на странице Getting Started Wizard .

Рисунок 21

На странице Добро пожаловать в мастера настройки сети нажмите Далее .

Рисунок 22

На странице Выбор сетевых шаблонов выберите сетевой шаблон, который вы хотите применить к TMG. Это те же самые сетевые шаблоны, которые использовались на предыдущих версиях ISA Firewall. Нажмите на каждой опции и прочтите информацию, показанную в нижней части страницы.

В этом примере, мы будем использовать предпочитаемый шаблон, коим является шаблон Edge firewall . Нажмите Далее .

Рисунок 23

На странице Параметры локальной сети (LAN) вам дается возможность настроить информацию IP адресации для интерфейса локальной сети. Сначала вы выбираете NIC (сетевая карта), которую вы хотите сделать интерфейсом LAN на ISA Firewall путем нажатия в навигационном меню на строку Сетевой адаптер, подключенный к LAN . Информация IP адресации для этого NIC появится автоматически. Здесь вы можете изменять информацию IP адресации. Вы также можете создать дополнительные статические маршруты, нажав на кнопку Добавить .

Я правда не знаю, какие изменения на этой станице буду подходящими для определения внутренней сети по умолчанию. Допустим, я решил настроить стандартную внутреннюю сеть на 10.0.0.0-10.0.0.255, а затем решил изменить IP адрес на внутреннем интерфейсе на этой странице с тем, чтобы он оказался на другом сетевом ID. Изменится ли определение внутренней сети по умолчанию? Что, если я добавлю статичный маршрут на внутреннем интерфейсе TMG? Будет ли это изменение отражено в определении внутренней сети по умолчанию? Я не знаю, но собираюсь провести некоторые исследования в будущем.

Я не буду вносить никаких изменений на этой странице, поскольку я уже настроил внутренний интерфейс и необходимую информацию IP адресации. Нажмите Далее .

Рисунок 24

На странице Параметры Интернета вы можете настраивать информацию IP адресации для внешнего интерфейса TMG firewall. Как и на предыдущей странице, вы выбираете NIC, которую вы хотите сделать внешним интерфейсом, выбрав в навигационном меню строку Сетевой адаптер, подключенный к Интернету . Здесь вы также можете изменить информацию IP адресации. Поскольку я уже настроил внешний интерфейс и информацию IP адресов, то не буду вносить здесь никаких изменений. Жмем Далее .

Рисунок 25

На странице Завершение работы мастера настройки сети показаны результаты внесенных изменений. Нажмите Завершить .

Рисунок 26

Вы окажетесь обратно на странице Getting Started Wizard . Следующий мастер – это Мастер настройки параметров системы . Перейдите по ссылке Настроить параметры системы .

Рисунок 27

Рисунок 28

На странице Идентификация хоста вам будет задан вопрос об имени хоста и доменной принадлежности брандмауэра TMG. В этом примере, мастер автоматически определил имя хоста машины, коим является TMG2009 . Мастер также определил принадлежность машины домену. Полагаю, что этот мастер позволит вам присоединиться к домену, если вы еще не сделали этого, или покинуть домен, если вы пожелаете. Также, если машина принадлежит рабочей группе, у вас будет возможность ввести первичный DNS суффикс, который ISA Firewall сможет использовать для регистрации вашего домена DNS, если у вас активирован DDNS и вам не требуются надежные обновления DDNS.

Поскольку я уже настроил эту машину в качестве члена домена, мне не нужно вносить никаких изменений на этой странице. Нажимаем Далее .

Рисунок 29

На этом работа с Мастером конфигурации системы закончена. Жмем Завершить на странице завершения работы мастера Completing the System Configuration Wizard .

Рисунок 30

У нас остался еще один мастер на странице Getting Started Wizard . Перейдите по ссылке Определить опции установки .

Рисунок 31

Рисунок 32

На странице Настройка Microsoft Update у вас есть опции Использовать службу Microsoft Update для поиска обновлений и Я не хочу использовать службу Microsoft Update Service . Обратите внимание на то, что TMG использует службу Microsoft Update не только для обновления OС и ПО брандмауэра TMG, но и для проверки наличия вредоносного ПО, причем делает он это несколько раз в день (по умолчанию, каждые 15 минут). Поскольку одним из основных преимуществ использования брандмауэра Microsoft перед другими брандмауэрами является его отличная функция автоматического обновления, то мы продолжим, и будем использовать сайт Microsoft Update. Нажимаем Далее .

Рисунок 33

На странице Определение параметров обновления вы указываете, хотите ли вы, чтобы брандмауэр TMG искал и устанавливал , просто искал или не делал ничего для обновления осмотра на вредоносное ПО. Вы также можете устанавливать частоту осмотра, которая по умолчанию имеет значение, равное каждым 15 минутам. Но вы можете установить значение загрузки обновлений раз в день, а затем настроить время дня, когда эти обновления будут устанавливаться. Нажмите Далее .

Рисунок 34

На странице Обратная связь с потребителем можно указать, хотите ли вы предоставить анонимную информацию компании Microsoft о конфигурации вашего оборудования и того, как используется продукт. Никакая информация, переданная Microsoft, не может быть использована для определения вашей личности, а также никакая личная информация не передается компании Microsoft. Полагаю, что мне нужно указать свое имя, дату рождения, номер социального страхования, лицензионный номер драйвера и адрес своего банка, а компании Microsoft я доверяю гораздо больше, чем своему банку, если учесть требования к банкам передавать информацию федеральному правительству. Поэтому передача этой технической информации компании Microsoft не представляет никакой опасности, и помогает ей создавать свою продукцию более стабильной и надежной. Выберите опцию Да, я хочу анонимно участвовать в программе Customer Experience Improvement (рекомендуется) .

Рисунок 35

На странице Служба телеметрии Microsoft вы можете настроить свой уровень принадлежности к службе телеметрии Microsoft. Служба Microsoft Telemetry помогает защититься от вредоносного ПО и несанкционированного доступа, путем предоставления компании информации о потенциальных атаках, которую компания Microsoft использует, чтобы помочь определить тип атаки и улучшить точность и эффективность снижения угроз. В некоторых случаях личная информация может по неосторожности быть отправлена Microsoft, однако компания не будет использовать эту информацию, чтобы определить вашу личность или связаться с вами. Сложно определить, какая именно личная информация может быть отправлена, но поскольку я привык доверять компании Microsoft, я выберу опцию Присоединиться с повышенным уровнем принадлежности . Нажимаем Далее .

Рисунок 36

На странице Завершение работы мастера установки показаны выбранные вами параметры. Нажимаем Завершить .

Рисунок 37

Вот и все! Мы закончили работу с мастером Getting Started Wizard . Но это не означает, что все закончено. Если вы отметите опцию Запустить мастера веб доступа , то откроется окно этого мастера. Давайте отметим эту опцию и посмотрим, что произойдет.

Рисунок 38

У нас откроется приветственное окно мастера Welcome to the Web Access Policy Wizard . Поскольку это новый способ создания политики брандмауэра TMG, думаю, мы подождем до следующей части, чтобы подробно рассмотреть этого мастера. Кажется, TMG позволит вам настраивать политику веб доступа немного иначе, чем в предыдущих версиях ISA Firewall, поэтому мы посвятим этому следующую часть.

Рисунок 39

Теперь, когда установка завершена, у нас появилась новая консоль. Если вы посмотрите на левую панель консоли, то увидите, что в ней абсолютно отсутствуют вкладки, что немного облегчает процесс навигации. Также мы видим новую вкладку Центр обновлений . Отсюда вы можете получить информацию об обновлениях службы защиты против вредоносного ПО TMG, и узнать, когда устанавливались эти обновления.

Рисунок 40

По завершении процесса установки я обнаружил, что были некоторые ошибки. Но это, наверное, связано с тем, что TMG вообще не работал после установки. Я смог решить эту проблему путем перезагрузки компьютера. Я не уверен, было ли это связано с тем, что брандмауэр TMG устанавливался на виртуальный сервер VMware, или с тем, что это бета версия.

Рисунок 41

Обращая внимание на Первичные задачи настройки , вы можете заметить, что несколько ролей и служб было установлено на этот компьютер, как часть установки TMG. Сюда входят:

Резюме

В этой статье мы рассмотрели процесс установки брандмауэра TMG. Здесь были некоторые изменения по сравнению с предыдущими версиями ISA Firewall, но ничего сверхъестественного. Это нормально, установка – это не тот процесс, от которого ждешь чего-то удивительного. Мы видели несколько замечательных улучшений в процессе установки, которые придают дополнительную гибкость во время настройки.

Если вы потратите еще немного времени на рассмотрение ПО брандмауэра TMG после установки, и не найдете ни одной черты, которую ожидали найти, не стоит беспокоиться. Это очень ранняя бета версия, и я полагаю, что она далека от завершения. Я знаю, что были запросы на дюжины других характеристик, когда была выпущена версия ISA 2000. Хотя иногда первые впечатления являются длительными, я не хочу быть причиной вашего первого впечатления от TMG. Помните, что это всего лишь первая бета версия, поэтому следует ожидать множества новых параметров и характеристик в будущем, которые могут сделать вас счастливыми. Спасибо!

И Win7 корпорация Microsoft анонсировала ряд решений, направленных
на усиление безопасности сетей и серверов. Вместо ставших уже привычными имен и
технологий, на IT-сцене появились совершенно новые названия. В статье
познакомимся с назначением продуктов семейства Forefront "Stirling" и подробно
разберем пакет Forefront TMG , который стал преемником ISA Server 2006.

Интегрированная система безопасности Forefront "Stirling"

Практически 9 лет компьютерные сети многих организаций бессменно защищал ISA
Server (Microsoft Internet Security and Acceleration Server). Основа, заложенная
еще в первом релизе, мало изменилась и в третьей версии ISA Server 2006:
фильтрация трафика на нескольких уровнях, поддержка VPN, работа с Active
Directory, анализ посещения внешних ресурсов, IDS/IPS и так далее. Нет, конечно,
продукт развивался: был существенно переработан интерфейс, появились новые
функции, но со временем менялась идеология защиты сетей, и соответственно
администраторы стали требовать большего, чем мог дать ISA Server, который к тому
же не совместим с новыми серверными ОС Win2k8/R2.

Результат не заставил себя долго ждать. В 2008 году на конференции RSA
Security был представлен преемник ISA Server, получивший новое имя Forefront
Threat Management Gateway (Forefront TM G, Шлюз управления угрозами).
Одной из основных особенностей Forefront TMG стала совместная работа с
другими продуктами новой платформы Forefront Protection Suite (кодовое
имя "Stirling",

www.microsoft.com/forefront/stirling), предназначенной для всесторонней
защиты и централизованного управления параметрами безопасности корпоративных
сетей, серверов и рабочих станций. В настоящее время в ее состав входит:

  • Forefront Client Security (FCS, ранее Microsoft Client Protection)
    — обеспечивает защиту серверов, рабочих станций от разного рода угроз,
    вирусов, программ-шпионов, руткитов и прочего вредоносного кода с возможностью
    простого централизованного управления и получения отчетов. FCS интегрируется с
    существующей инфраструктурой программ и дополняет другие технологии
    безопасности Microsoft;
  • Forefront Security for Exchange Server (ранее Microsoft Antigen для
    Exchange, в дальнейшем Forefront Protection 2010 for Exchange Server) —
    защищает среду обмена сообщениями Exchange Server от вирусов, червей, спама и
    недопустимого содержимого, для этих целей в его состав включено несколько
    антивирусных ядер;
  • Forefront Online Security for Exchange (FOSE) — является "облачным"
    вариантом предыдущего пункта, то есть FOSE предоставляется как услуга,
    позволяющая обеспечить защиту электронной почты компании и снизить затраты на
    содержание серверов. Интегрируется с Active Directory и Exchange Server, хотя
    в качестве почтового сервера можно использовать любой другой сервер;
  • Forefront Security for Office Communications Server — обеспечивает
    защиту системы мгновенных сообщений, предоставляемую этим сервером, проверяя
    трафик несколькими антивирусами и блокируя мессаджи с подозрительным
    содержимым;
  • Forefront Security for SharePoin t (ранее Antigen для SharePoint, в
    дальнейшем Forefront Protection for SharePoint) — антивирусная защита хранилищ
    документов (в реальном времени и по расписанию), реализуемых при помощи
    сервиса SharePoint, применение политик компании к содержимому, типам и
    расширениям файлов;
  • Forefront Unified Access Gateway (UAG, ранее Intelligent
    Application Gateway — IAG 2007) — шлюз удаленного (входящего) доступа (а не
    защиты) к приложениям, позволяющий контролировать и управлять доступом к
    сетевым службам "из вне", через единую точку входа;
  • Forefront Identity Manager (FIM, ранее Identity Lifecycle Manager)
    — усовершенствованная платформа управления идентификационной информацией на
    базе веб-сервисов, в которой используются гибкие средства делегирования
    полномочий на основе политик, что в итоге позволяет повысить безопасность и
    управляемость корпоративных сред;
  • Forefront Threat Management Gateway (главный герой нашей статьи) —
    защита от интернет угроз, фильтрация трафика, IDS/IPS, контентная фильтрация.

Ранее Microsoft предлагала несколько разобщенных продуктов, каждый их которых
защищал свой участок, имел свою консоль управления и систему отчетов. Такие
системы защиты плохо масштабируются, ими неудобно управлять. Сегодня вместо
этого специалистам предоставляется комплексное решение, которое работает с общей
базой настроек, информацией об угрозах, управляется из единой консоли, и которое
можно легко подстроить под конкретные нужды.

Возможности Forefront TMG

Основным компонентом Forefront TMG (на момент написания статьи была
доступна версия 2010 Release Candidate) является межсетевой экран, который
контролирует входящий и исходящий трафик в соответствии с установленными
политиками. Этот компонент "достался" по наследству от ISA Server. Среди новинок
можно отметить улучшенную поддержку NAT (например, теперь нет проблем в случае,
если внешний интерфейс имеет несколько IP-адресов), функцию управления
резервными интернет-каналами (ISP Redundancy, только для исходящего трафика),
появление в настройках firewall вкладки VoIP, где производится настройка защиты
и поддержки VoIP сервиса (VoIP traversal).

Функцию IDS/IPS выполняет компонент Network Inspection System (NIS,
Служба проверки сети), главным отличием которого от подобных решений является
контроль над попытками использования известных уязвимостей, обнаруженных в
защищаемых системах, а не поиск сигнатур эксплоитов. Такой подход позволяет
закрыть брешь в период обнаружения уязвимости до выхода устраняющего ее патча.
Основой NIS служит GAPA (Generic Application-Level Protocol Analyzer),
обеспечивающий быстрый низкоуровневый поиск данных. Кроме сигнатурного анализа,
в NIS заложен поведенческий анализатор (Security Assessment and response, SAS),
способный определять вторжения на основе поведения (Behavioral Intrusion
Detection).

Никуда не исчезла возможность предоставления безопасного доступа
к ресурсам интернет и контроля за трафиком (Web Client Protection). Здесь
отмечаем появление в списках протокола SSTP (Secure Socket Tunneling Protocol,
подробнее о нем читай в статье " " ), поддержка которого была впервые реализована в Vista
SP1 и Win2k8.

TMG проверяет HTTP и HTTPS (чего не было ранее, при этом TMG
выступает как посредник) трафик на наличие вредоносного ПО, используя те же
механизмы защиты, что и Forefront Client Security и Windows Defender.
Администратор может указать узлы, для которых не следует производить проверку,
максимальный размер скачиваемого файла, при превышении которого загрузка будет
блокирована, разрешенные типы файлов. Еще одна новинка в этом разделе —
возможность URL фильтрации, которая дает возможность контролировать доступ к
определенным веб-ресурсам, основываясь на 80-ти категориях. Список возможных
категорий и их состав динамически обновляется по подписке.

В TMG интегрирован SMTP прокси, обеспечивающий функции защиты от
вирусов, спама и прочих угроз, распространяемых по e-mail. Причем почтовый
трафик могут сканировать до 5 программ, большая часть функций по фильтрации
реализована за счет интеграции с Exchange Server 2007 Edge. В политиках (E-Mail
policy) администратор может задавать расширения, шаблоны имени, MIME типы
файлов, которые будут блокироваться при пересылке. Также TMG может просматривать
сообщения на наличие определенных фраз во входящих и исходящих сообщениях, затем
на основе политик такие письма могут быть удалены с отправкой уведомления
админу.

TMG поддерживает Win2k8R2, может интегрироваться с Exchange 2007
SP1 или грядущим Exchange 2010. Первые версии TMG нельзя было развернуть в
рабочей группе (только в доменной среде), что снижало область применения
продукта. Теперь такая возможность имеется, хотя в этом случае придется
потратить некоторое время на эффективную настройку локальной SAM базы (Security
Accounts Manager). В режиме рабочей группы возможна аутентификация средствами
RADIUS или SecurID сервера.

Перечислю несколько важных моментов касательно IPv6, которые
следует учесть при развертывании TMG:

    будет блокирован весь IPv6 трафик;

    протокол ISATAP (Intra-Site Automatic Tunnel Addressing
    Protocol) и 6to4 интерфейс, инкапсулирующие пакеты IPv6 в IPv4, будут
    отключены;

    при рестарте будет обновляться только "A" DNS запись для
    сервера, но не "AAAA";

    будут очищены кэши DNS, ARP и Neighborhood Discovery (IPv6
    версия ARP).

Да, протокол IPv6 TMG не поддерживает в полной мере, но работать
с ним умеет. Также возможно развертывание DirectAccess (который, кстати, завязан
на IPv6/IPsec) и TMG на одной системе. Хотя это потребует плясок с бубном, так
как при установленной роли DirectAccess некоторые мастера TMG отказываются
работать, так как не могут определить настройки сети.

Поставляется TMG в двух версиях: Enterprise и Standard Edition,
хотя первоначально такое разделение не планировалось. Основных преимуществ
Enterprise перед Standart два. Это снятие лимита на количество CPU (в Standart
до 4) и работа в массиве TMG, управляемом Enterprise Management Server (Сервер
управления предприятием) с поддержкой "Stirling". Настройки в этом случае
хранятся централизованно на сервере Configuration Storage Server. Чтобы
проапгрейдить Standart до Enterprise, необходимо установить новый лицензионный
ключ: Forefront TMG Management console — System node — выбираем сервер и в
контекстном меню Properties — Upgrade to Enterprise Edition вводим новый ключ.

Также следует отметить наличие несколько урезанной версии
Forefront TMG Medium Business Edition (MBE) для Essential Business Server (ESB).
Это решение предназначено для защиты сетей небольших и средних размеров (до 300
рабочих станций). В нем отсутствует Network Inspection System, не реализована
возможность проверки защищенного HTTPS трафика и защиты e-mail, не предусмотрено
использование балансировки нагрузки и создание отказоустойчивых кластеров, он не
интегрируется с продуктами семейства "Stirling". TMG MBE доступен как в составе
ESB, так и как самостоятельное решение. Возможна установка на 32-х битную
систему.

Установка Forefront TMG

Для установки Forefront TMG понадобится сервер с x64 CPU
(32-х разрядные CPU не поддерживаются) и 2 Гб ОЗУ, работающий под управлением
x64-версии Win2k8/2k8R2, а также 2.5 Гб места на харде (раздел должен быть
отформатирован в NTFS). Среди требований есть еще Microsoft SQL Server 2005
Express Edition (MSEE), но он будет установлен автоматически, поэтому не нужно
отдельно его скачивать.

Возможно несколько вариантов использования шлюза TMG. Он может
стоять на границе зоны, это классический вариант, когда с одной стороны
подключен интернет, с другой — внутренняя сеть (требуется наличие двух сетевых
адаптеров). Развитием этого варианта является вывод DMZ на отдельный сетевой
интерфейс. В документации еще описан вариант Back Firewall, когда TMG выступает
как второй брандмауэр, размещенный за аппаратным решением (например, шлюз с
функциями фильтрации). И наконец, возможна работа на сервере с одним сетевым
интерфейсом. В этом случае TMG будет выступать просто как кэширующий
прокси-сервер с возможностями по аутентификации пользователей в Active
Directory, фильтрации URL и блокировки контента. Учитывая, что TMG
устанавливается на входе сети, вполне логично, что сервер не должен быть
контроллером домена. Если при развертывании на сервере будет найдена роль
"Active Directory Domain Services" (даже без последующего запуска dcpromo),
установка прекратится без объяснений. Теперь рассмотрим процесс установки
Forefront TMG на Win2k8R2.

Запускаем инсталляционный пакет, скаченный с сайта Microsoft, и
щелкаем по пункту "Setup Preparation Tool". Следуя подсказкам этого
инструментального средства, устанавливаем все роли и компоненты, необходимые для
работы Forefront TMG. На втором шаге "Installation Type" нужно определиться с
вариантом установки. По умолчанию предлагается "Install Forefront Threat
Management Gateway services", при котором будет установлен собственно TMG и
консоль управления. Другие варианты позволяют инсталлировать только консоль
управления Forefront TMG Management или консоль управления массивами TMG. По
окончании работы "Preparation Tool" в системе появятся роли: "Network Policy and
Access Services", "Web Server (IIS)", компонент.Net Framework 3.5 и MSEE. Если
не снимать на последнем шаге флажок "Launch Microsoft Forefront TMG Setup", по
окончании работы "Setup Preparation Tool" запустится мастер установки TMG.
Ничего сложного он собой не представляет — подтверждаем лицензию, вводим
название организации и серийный номер, затем параметры внутренней сети. В
последнем случае можно выбрать сетевой адаптер, ввести адрес сети или диапазон
IP-адресов. По завершении этого этапа сервер лучше перезагрузить.

Настройки TMG

После установки TMG в меню обнаружим консоль управления
"Forefront TMG Management" и монитор производительности "Forefront TMG
Perfomance Monitor". По умолчанию консоль подключается к локальному серверу, но
вряд ли админ будет работать из серверной. Чтобы подключиться к удаленному
серверу с установленным TMG, выбираем в контекстном меню пункт "Connect" и,
следуя указаниям "Configuration Storage Server Connection Wizard", отмечаем
локальную систему, отдельный сервер или подключение к массиву TMG.
Настроек в консоли более чем предостаточно. Спасает продуманный интерфейс,
который существенно переработан в сторону улучшения юзабилити. Все настройки
сгруппированы в 12 меню, в каждом производятся установки специфических политик:
Firewall, WebAccess, E-mail, IPS и так далее. Некоторые пункты позволяют
получить доступ к функциям мониторинга, отчетов и обновлений. И в какой пункт не
зайди, везде тебя встретит пошаговый мастер.

При первом запуске консоли активируется "Getting Started
Wizard", который по сути открывает доступ к трем другим визардам: Network,
System Configuration и Deployment. Некоторые настройки будут взяты из системных
установок, при необходимости их уточняем.
В самом начале работы мастера сетевых настроек будет предложено выбрать шаблон
сети (Network Template), соответствующий текущему применению TMG: Edge firewall,
3-Leg Perimeter, Back firewall, Single network adapter. При выборе каждого
пункта будет показана схема сети, поэтому в назначении шаблонов легко
разобраться. По умолчанию предлагается "Edge firewall", который соответствует
"стандартному" режиму использования, когда с одной стороны подключается
интернет, с другой — локальная сеть. Его и оставляем, указываем LAN и WAN
интерфейсы. Настройки системы заключаются в уточнении принадлежности к домену
или рабочей группе, а также вводу DNS суффикса. В большинстве случаев здесь
нужно оставить все, как есть. В Deployment Wizard указываются параметры "Windows
Update". Далее активируем лицензии NIS, Web- и Email Protection и на следующих
этапах работы мастера задаем порядок обновления соответствующих сигнатур.
Установленный в последнем окне флажок "Run Web Access Wizard" позволяет сразу
запустить мастер настройки веб-доступа, но с этим пока можно не спешить.

Выбираем в меню консоли свой сервер. В среднем окне появится
окно "Roles Configuration", в нем даны ссылки на 5 задач: доступ внутренних
пользователей к веб-сайтам (Web Access Policy), политики E-mail, настройка NIS,
публикация внутренних ресурсов для предоставления доступа "из вне", активация и
настройка доступа к VPN. Конечно, это не все задачи по обеспечению полноценной
защиты и работы сервисов, конкретный список для каждой сети админ уже составляет
сам. После работы "Started Wizard" будет активирована NIS, и установлены
блокирующие правила в Firewall и Web Access. Соответственно, выйти в интернет,
получать и отправлять почту не получится, также будет закрыт доступ к внутренним
ресурсам "из вне", поэтому последовательно перебираем каждый шаг и настраиваем
политику доступа.

Настройка политик веб-доступа и использования E-mail

Для примера рассмотрим настройки по обеспечению веб-доступа и
работы электронной почты. Переходим во вкладку "Web Access Policy" и выбираем в
поле "Task" ссылку "Configure Web Access Policy", запустится мастер настроек.
Определяемся, будем ли использовать блокировку веб-ресурсов по категориям. Если
отметить "Yes, create a rule blocking …", то на следующем шаге нужно указать
категории ресурсов, которые будут блокироваться. В списке уже есть с десяток
категорий, чтобы добавить новую категорию в список, нажимаем кнопку "Add" и
отмечаем в появившемся окне все необходимое. Следующий шаг мастера — "Malware
Inspection Setting", здесь выбираем, будем ли проверять HTTP трафик на наличие
вредоносного кода. Дополнительный флажок "Block encrypted archives" разрешает
блокировку зашифрованных архивов. Далее настраивается проверка HTTPS трафика.
Здесь возможны четыре варианта:

    проверять;

    не проверять и разрешать трафик;

    не проверять трафик, проверять сертификат и при несоответствии
    блокировать;

    блокировать HTTPS.

Если выбран первый вариант, мастер потребует ввести сертификат,
который необходимо предварительно создать (подробности смотри в уже упомянутой
статье "Слоеный VPN"). Затем идет настройка кэширования. Отмечаем флажок "Enable
Web caching" и, нажав "Cache Drives", указываем диск и вводим максимальный
размер кэша (по умолчанию 0, т.е. неограничен). После нажатия кнопки "Finish"
будут созданы новые настройки, чтобы они вступили в силу, нажимаем кнопку
"Apply" вверху окна. Теперь пользователи внутренней сети могут просматривать
информацию на веб-ресурсах.

Используя ссылки во вкладке "Task", можно изменить установки без
повторного запуска мастера. Чтобы изменить отдельное правило, дважды щелкаем по
нему и, перемещаясь по вкладкам свойств, отключаем/включаем правило, изменяем
From/To, указываем протокол, расписание, тип контента. Состояние отдельных
элементов можно увидеть и изменить в поле "Web Access Setting".

Для настройки работы с E-mail выбираем в меню "E-Mail Policy".
Здесь действуем аналогично предыдущему пункту. Нажимаем "Configure E-Mail
Policy". Запустившийся мастер вначале попросит указать IP-адрес внутреннего
почтового сервера и ввести список разрешенных доменов. Отмечаем сети, на которых
будут слушаться почтовые запросы, указываем FQDN (Fully Qualified Domain Name),
используемый для связи с сервером при ответе на HELO/EHLO запросы. По умолчанию
TLS (Transport Layer Security) шифрование трафика отключено, для его активации
устанавливаем флажок "Enable TLS Encryption". На последнем шаге, установив
соответствующие флажки, активируем функции антиспама и антивирусной проверки
почтового трафика (если, конечно, их предполагается использовать). Нажимаем
"Finish" и применяем настройки щелчком по "Apply". Правила, созданные в
результате работы мастера, будут показаны в окне консоли. Настройка правил
антиспама и антивируса производится во вкладках "Spam Filtering" и "Virus and
Content Filtering" соответственно.

Заключение

Как видишь, нововведений в семействе Forefront достаточно много,
и главное из них — тесная интеграция продуктов, которая позволит на порядок
повысить эффективность использования различных решений и добавить удобство
работы админу. На примере Forefront TMG хорошо видно, что одной лишь
сменой имени дело не обошлось. В нем появилось достаточно много функций, которые
уже не раз запрашивались администраторами.

TMG vs UAG

Forefront TMG и UAG входят в группу Forefront Edge Security and
Access, в которой представлены решения, обеспечивающие защиту периметра и доступ
к внутренней сети, но назначение у них совершенно разное. У TMG главное
назначение — это защита внутреннего периметра, UAG — обеспечение безопасного
доступа к сервисам "из вне". Хотя в TMG реализована возможность организации
доступа ко внутренним ресурсам посредством VPN и публикации внутренних сервисов
(Secure Web Publishing), но UAG в этом плане обеспечивает большие возможности и
гибкость.

INFO

Forefront "Stirling" — комплексное решение, предназначенное для
всесторонней защиты и централизованного управления параметрами безопасности
корпоративных сетей, серверов и рабочих станций.

Основой системы отчетов Forefront "Stirling" является MS SQL
Server 2008 Reporting Services, механизм отчетов способен удовлетворить запросы
большинства админов.

Перед началом установки Forefront TMG следует обновить систему
при помощи Windows Update: Control Panel — System and Security.

Антивирусные, антиспам обновления, сигнатуры NIS, URL Filtering
доступны по платной подписке.

Страница TechNet, посвященная Forefront —

technet.microsoft.com/en-us/library/cc901531.aspx

WARNING

Forefront TMG нельзя устанавливать на сервер, выполняющий
функции контроллера домена.

После установки Forefront TMG все сетевые соединения
блокируются.


На днях озадачились, и решили пересадить всех юзеров на проксю в TMG. Решил на виртуалке опробовать данный процесс.

Стандартные функции TMG клиента

  • Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
  • Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
  • Упрощенная настройка маршрутизации в больших организациях
  • Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

  • Windows 7
  • Windows Server 2003
  • Windows Server 2008
  • Windows Vista
  • Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

  • ISA Server 2004 Standard Edition
  • ISA Server 2004 Enterprise Edition
  • ISA Server 2006 Standard Edition
  • ISA Server 2006 Enterprise Edition
  • Forefront TMG MBE (Medium Business Edition)
  • Forefront TMG 2010 Standard Edition
  • Forefront TMG 2010 Enterprise Edition

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.

Начните процесс установки и следуйте указаниям мастера.

Рисунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.

Данный материал является практическим применением двух конкретных технологий: Microsoft Hyper-V и Microsoft Forefront Threat Management Gateway, которые предлагает компания Microsoft.

Данный материал является практическим применением двух конкретных технологий: Microsoft Hyper-V и Microsoft Forefront Threat Management Gateway, которые предлагает компания Microsoft.

Технические данные

В рамках проекта есть ОДИН физический сервер с двумя сетевыми картами, поддерживающий технологию виртуализации. В рамках данной статьи необходимо решить задачу развертывания демилитаризованной зоны (ДМЗ) в виртуальной сети.
Прежде чем произвести установку всеx программных продуктов необходимо прочитать правила лицензирования, которые позволят рассчитать стоимость владения ПО. Лицензионное соглашение компании Microsoft регулярно обновляется и всегда доступно на сайте Microsoft.

Этап 1. Установка операционной системы на физический сервер.

Компания Microsoft предлагает 2 варианта виртуализации:

  1. C использование гипервизора Microsoft Hyper-V™ Server 2008 .
  2. C использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.

В рамках текущей статьи будет представлен вариант с использованием роли сервера Hyper-V.

Использование гипервизора Microsoft Hyper-V™ Server 2008 .

Компания Microsoft выпустила продукт, который позволяет физический сервер превратить в сервер виртуальных машин без установки операционной системы (на самом деле операционная система устанавливается, но она является специализированной для виртуализации). Продукт называется Microsoft Hyper-V Server.

Для его администрирования необходимо использовать оболочку Диспетчер Hyper-V, которую можно установить в операционные системы Windows 7 и Windows Vista, либо обладать знаниями по использованию оболочки Powershell.

Гипервизор Microsoft Hyper-V Server 2008 обеспечивает возможность использования технологии виртуализации БЕСПЛАТНО, но требует специализированных знаний и навыков при обслуживании и использовании дополнительного оборудования, например, ленточных накопителей или систем хранения данных.

Использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.

В рамках операционной системы Microsoft Windows 2008 R2 существует роль Hyper-V, которая предоставляет возможность создания виртуальных машин. При этом на физическом сервере существует возможность использования полноценной операционной системы, которая предоставит администраторам необходимую свободу действий.

Подробнее про установку гипервизора Microsoft Hyper-V™ Server и роли Hyper-V можно найти на сайте www.microsoft.ru .
Этап 2. Управление виртуальной сетевой инфраструктурой.

Несмотря на то, что сервер физический, существует возможность не назначать сетевые адреса на физические сетевые карты, что позволит обеспечить безопасность физического сервера. Однако отсутствие сетевого подключения к локальной сети исключает удаленное администрирование сервера, на котором установлена роль Hyper-V. Обычно для администрирования сервера назначают IP адрес доступа из внутренней сети.

Назначать сетевой адрес на сетевую карту, подключенную к сети Интернет не рекомендуется, так как нет средств для обеспечения полноценной защиты физического сервера.

Лучше всего настроить текущую сетевую инфраструктуру на сервере виртуализации. Так как рассматриваемая сетевая инфраструктура представляет собой трехноговую инфраструктуру (Внутренняя – ДМЗ – Внешняя), то необходимо создать три сети, две из которых будут физически присвоены к различным сетевым адаптерам, а третья будет виртуальной – для демилитаризованной зоны. Это делается через «Диспетчер виртуальной сети», как показано на рисунке 1.

В окне «Диспетчер виртуальных сетей» выбираем пункт «Создать виртуальную сеть». Выбираем тип «Внешний» и нажимаем «Добавить». Процесс создания сети представлен на рис. 2.

В рамках создаваемой инфраструктуры нам необходимо создать 3 вида сетей: две внешних сети с подключением к разным адаптерам (подключение к внутренний сети и подключение к провайдеру) и одну частную сеть из виртуальных машин (подключение серверов ДМЗ). В результате мы получим три сети (рис.3.)

3 Этап. Создание виртуальных машин.

При создании виртуальных машин, находящихся в демилитаризованной зоне, необходимо указать созданный адаптер Virtual DMZ. Основным шлюзом (default gateway) будет являться сервер Microsoft Forefront Threat Management Gateway. Конфигурацию и объем жестких дисков выбирают исходя из задач, возложенных на сервера.

Для создания виртуальной машины необходимо кликнуть правой кнопкой на сервере Hyper-V, выбрать пункт «Создать - Виртуальную машину». После чего откроется окно приглашения.

В окне «Укажите имя и месторасположение» необходимо определить название и месторасположение файла конфигурации виртуального сервера (рис. 4.).

В окне «Выделить память» (рис. 5) необходимо выбрать размер оперативной памяти. Для Microsoft Forefront Threat Management Gateway по минимальным требованиям необходимо 2Гб оперативной памяти.

В окне «Настройка сети» выбираем подключение к внутренней сети (Virtual Internal).

В окне «Подключить виртуальный жесткий диск» необходимо выбрать пункт «Создать виртуальный жесткий диск». Указать размер (для Microsoft Windows 2008 R2 не менее 11 Гб) (рис. 7).

В окне «Параметры установки» выбираем пункт «Установить операционную систему позднее» и нажимаем «Далее» (рис. 8).

После окна «Сводка» нажимаем «Готово».

Прежде чем преступить к установке Windows 2008 R2 Server необходимо зайти в настройки виртуальной машины FOREFRONT. Правой кнопкой кликаем на виртуальной машине – Параметры…

И в окне «Настройки для FOREFRONT»

В окне выбираем «Установка оборудования» - «Сетевой адаптер» и нажимаем «Добавить». Добавляем два оставшихся адаптера Virtual Internet и Virtual DMZ. После добавления конфигурация компьютера будет выглядеть так:

после этого приступаем к установке Microsoft Windows 2008 R2 Server.

Этап 4. Установка Microsoft Windows 2008 R2 Server.

Приступаем к установке Windows 2008 R2 Server. Для этого необходим образ диска. Его можно скачать с сайта Microsoft. На сайте www.microsoft.ru можно найти жесткий диск для виртуальных машин и заменить его созданным ранее нами.

В «Контроллере 1 IDE» устанавливаем «Файл изображения» и указываем расположение файла образа.

Запускаем виртуальную машину.

После этого можно отправлять установку Microsoft Windows 2006 R2 и Microsoft ForeFront Threat Management Gateway по умолчанию. Определяем сетевые адаптеры и назначаем IP адреса согласно конфигурации сети. ВНИМАНИЕ! На компьютере может быть определен только единственный Default Gateway. Обычно его назначают default gateway провайдера.

Этап 5. Настройка Microsoft Forefront Threat Management Gateway.

После первоначального запуска появится окно «Started Wizard». Также его можно запустить через «Launch Getting Started Wizard».

В настройках «Network Template selection» выбираем «3-Leg perimeter»(трехногий периметр), который позволит ограничить и создать ДМЗ. Нажимаем «Далее».

В окне «Local Area Network (LAN) Setting» выбираем сетевой адаптер, который подключен к внутренней локальной сети.

В окне «Internet Setting» выбираем сетевой адаптер, подключенный к провайдеру.

В окне «Perimeter Network Setting» определяем сетевой адаптер, подключенный к серверам в ДМЗ. Далее необходимо выбрать тип доверия к данной сети. Он может быть либо Public(публичный), когда на серверах находящихся в ДМЗ будет настроена маршрутизация без использования NAT, либо Private (приватный), когда будет настроена маршрутизация с использованием NAT. Данный режим определятся уровнем доверия к сети ДМЗ. Режим Private позволит в полной мере защитит вашу сеть от видимости со стороны ДМЗ, но могут возникнуть проблемы с настройкой правил доступа.

В этой статье было показано каким образом можно настроить 3-leg периметр. К сожалению, в рамках данной статьи невозможно показать полную настройку Microsoft Forefront Threat Management Gateway для организаций, так как для каждой организации будут существовать свои правила доступа и отношения между сетями и пользователями, которые описаны в политике безопасности.