Microsoft Forefront TMG – установка и настройка Forefront TMG клиента

Обожаю новые вещи, и я рада представить вам новый продукт: Microsoft Threat Management Gateway 2010 EE RTM. В этой статье мы сначала рассмотрим то, как устанавливать TMG 2010 EE RTM.

Конечно, действительной начальной стадией является планирование, в котором вы определяете то, какие будут требования к аппаратному оборудованию, и какую роль будет играть брандмауэр TMG в вашей сети. Однако если вы не знакомы с брандмауэром TMG, вам нужно будет просто установить его и посмотреть, что он собой представляет и как выглядит. Планирование можно отложить, если вы решите, что вам нравится то, что вы увидите, и об этом мы поговорим в последующих статьях. А в этой серии из двух частей мы поговорим о процессе установки и выделим потенциальные проблемы, с которыми вы можете столкнуться во время этого процесса.

Итак, начнем!

Как всегда, в качестве первого шага необходимо убедиться в том, что ваше аппаратное оборудование отвечает минимальным системным требованиям, которые можно найти .

Многие из вас будут выполнять эту установку в целях тестирования и оценки продукта. Поэтому мы установим RTM версию брандмауэра TMG на виртуальную машину, и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:

• Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет, и
• Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам.

В этом примере единственная виртуальная машина будет контроллером домена, и брандмауэр TMG принадлежит к тому же домену, что и контроллер домена.

Это будет чистая установка. Единственное, что мы сделали перед установкой, это присоединили виртуальную машину TMG к домену, а затем установили обновления Windows. Я не устанавливала никаких компонентов Exchange или иного ПО. Нашей целью будет то, что сделают большинство администраторов – установка программного продукта в «штатной» конфигурации, после чего мы постараемся настроить его так, чтобы он выполнял все нужные нам функции, чтобы можно было лучше познакомиться с этим продуктом.

Примечание: перед тем, как приступить к процессу установки, вам нужно знать конфигурацию DNS на сетевых картах виртуальной машины TMG. Поскольку вы никогда (или почти никогда) не включаете никакие внешние DNS серверы в настройку сетевых карт брандмауэра, я настроила внешний интерфейс безо всяких параметров DNS, а внутренний интерфейс с IP адресом внутреннего DNS сервера, который также является контроллером домена. Это вызовет некоторые сложности, о которых я расскажу позже, когда мы с ними столкнемся.

Вот простая схема сети, с которой я в данный момент работаю в этой статье:

Схема 1

Первым шагом будет загрузка пробной версии программы. В настоящее время TMG недоступен на MSDN, но вы можете загрузить пробную версию отсюда .

После загрузки файла дважды нажмите на нем, и он распакуется. После распаковки файлов вы увидите приветственную страницу Welcome to Microsoft Forefront TMG . Она выглядит несколько иначе по сравнению с тем, что мы видели в брандмауэре ISA, и она включает несколько новых опций. Обратите внимание на раздел Подготовка и установка (Prepare and Install) - теперь вы можете выполнить обновление Windows на этой странице установки. Мы уже сделали это, поэтому нам это не требуется. Еще одной новой опцией является Запуск инструмента подготовки (Run Preparation Tool) , и им мы воспользуемся. Выбираем эту опцию.

Вполне очевидно, что разработчики TMG пользовались большими мониторами при создании этого интерфейса. Диалоговые окна большие. Думаю, что это удобно для разработчиков и пользователей, однако неудобно для писателей статей, у которых ограничено горизонтальное пространство для создания снимков экранов.

На странице Welcome to the Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG) нажимаем Далее .

На странице отмечаем опцию Я принимаю условия лицензионного соглашения (I accept the terms of the License Agreements) и жмем Далее . Здесь вы принимаете условия лицензионного соглашения для Microsoft Chart Controls for Microsoft .NET Framework 3.5 and 3.5 SP1 и Microsoft Windows Installer 4.5 .

На странице выбора типа установки Installation Type у вас есть три опции:

• Службы и управление (Forefront TMG services and Management)
• Только управление (Forefront TMG Management only)
• Сервер управления предприятия для централизованного управления массивом (Enterprise Management Server (EMS) for centralized array management)

Новый TMG значительно упрощает работу с TMG EE в отличие от сложностей управления EE в брандмауэре ISA. Именно по этой причине в данной статье мы установим версию EE " чтобы показать вам простоту установки EE. Позже мы создадим отдельный массив, после чего мы уберем отдельный массив и установим массив предприятия. Это просто и весело! Но сначала, давайте разберемся с основами и выберем опцию Forefront TMG services and Management . Нажимаем Далее .

Рисунок 4

На странице Подготовка системы (Preparing System) вы увидите прогресс установки предварительно необходимого ПО.

На странице завершения подготовки Preparation Complete будет показано, что предварительно необходимое ПО было успешно установлено.

Рисунок 6

Теперь откроется страница Welcome to the Installation Wizard for Forefront TMG Enterprise . Нажимаем Далее , чтобы начать установку TMG EE.

Рисунок 7

На странице Лицензионное соглашение (License Agreement) выбираем опцию Я принимаю условия лицензионного соглашения (I accept the terms in the license agreement) и нажимаем Далее .

Рисунок 8

Введите свою информацию (имя пользователя, название организации и серийный номер продукта) на странице информации потребителя Customer Information , а затем нажмите Далее .

Рисунок 9

На странице указания пути установки Installation Path вы можете воспользоваться путем по умолчанию или выбрать собственное место установки, указав путь к папке, в которую хотите установить продукт TMG. В данном примере мы воспользуемся умолчаниями и нажмем Далее .

Рисунок 10

А вот здесь нас ждет пережиток прошлого – страница указания внутренней сети Define Internal Network . В брандмауэре TMG, как и у его предшественника ISA, основная внутренняя сеть (default Internal Network) будет тем местом, где будут располагаться основные сервисы вашей инфраструктуры; сюда входит Active Directory, DNS, DHCP и WINS. Вы можете изменить эту дефиницию позже, если захотите, но нам нужен доступ к этим ресурсам во время установки, поэтому нам придется определить основную внутреннюю сеть сейчас.

Нажмите кнопку Добавить (Add) на странице Define Internal Network . Это вызовет диалоговое окно Адреса (Addresses) . Существует несколько способов добавления адресов основной внутренней сети, но я предпочитаю использовать способ добавления адаптера (Add Adapter) . Нажимаем Добавить адаптер (Add Adapter) .

Рисунок 11

В диалоговом окне выбора сетевого адаптера (Select Network Adapters) выбираем сетевую карту локальной сети LAN , а затем ставим флажок для этой карты. Необходимо убедиться, что информация в разделе подробностей сетевого адаптера (Network adapter details) точно соответствует тем настройкам, которые заданы для выбранной сетевой карты. Затем нажимаем OK .

Рисунок 12

Адреса, назначенные для внутренней сетевой карты, теперь будут отображены в текстовом поле Адреса (Addresses) . Эти адреса основаны на записях таблицы маршрутизации брандмауэра – если вы еще не настроили записи таблицы маршрутизации на своем брандмауэре, эти адреса будут не полностью корректными, но это можно будет исправить позже, и мы рассмотрим эту проблему далее.

Рисунок 13

Рисунок 14

Как и в случае с установкой брандмауэра ISA, во время установки TMG тоже нужно будет перезапустить или отключить некоторые службы. К ним относятся следующие службы:

• SNMP служба
• Служба IIS Admin
• Служба публикации WWW Publishing Service
• Microsoft Operations Manager Service

Примечание: TMG не говорит, что эти службы установлены " он просто говорит, что если эти службы установлены, они будут отключены и перезапущены.

Рисунок 15

Нажимаем Установить на странице Ready to Install the Program .

Рисунок 16

Шкала прогресса будет показывать вам состояние процесса установки.

Рисунок 17

Затем откроется еще одно диалоговое окно и покажет вам, сколько времени займет этот процесс. Обратите внимание, что это приблизительные цифры; несмотря на цифры, которые вы здесь увидите, процесс установки у меня занял почти 30 минут. Это может быть связано с проблемами DNS, которые мы обсудим позже.

Рисунок 18

Теперь мастер установки Installation Wizard завершил работу, и вы, возможно, решите, что все готово. В версии ISA это было именно так. Следующим шагом был переход в консоль брандмауэра ISA и настройка сетей, правил доступа и прочих компонентов для корректной работы программы. Однако в TMG процесс не совсем закончен.

Если вы выберите опцию Запустить управление (Launch Forefront TMG Management) после закрытия мастера установки, появится еще три мастера, которые позволяют вам выполнить все настройки для работы брандмауэра после установки.

Рисунок 19

Поскольку эти мастера новые, а у нас заканчивается допустимый объем символов для этой статьи, мы рассмотрим эти новые мастера установки в следующей части цикла. Надеюсь, вы будете ждать продолжения.

Заключение

В этой статье мы начали с разъяснения того, что установим новый брандмауэр TMG 2010 EE в простой конфигурации. Единственными параметрами на виртуальной машине брандмауэра TMG были настройки DNS, и брандмауэр был присоединен к домену, прежде чем устанавливать программный продукт брандмауэра. Затем мы начали процесс установки, настроили основную внутреннюю сеть и завершили работу мастера установки. В следующей части цикла мы завершим процесс установки брандмауэра, рассмотрев три новых мастера, которые содержатся на странице Getting Started Wizard .

Данный продукт пришел на смену системе Internet Security and Acceleration Server (ISA) 2006; он интегрируется с решением Forefront Protection Manager, ранее известным как Stirling (в данный момент продукт находится на этапе бета-тестирования, выпуск версии для производства запланирован в текущем году), обеспечивающим централизованное управление продуктами семейства Microsoft Forefront. Механизмы Forefront TMG подключаются к консоли Forefront Protection Manager через систему Security Assessment Sharing (SAS).

Редакции Forefront TMG 2010 Standard и Enterprise заменяют систему ISA 2006, при этом редакция Enterprise поддерживает развертывание массивов TMG и систем с неограниченным количеством процессоров, а также управление данными массивами и системами.

Представители Microsoft называют пакет Forefront TMG 2010 комплексным средством управления рисками. В состав Forefront входят возможности, недоступные системе ISA, в том числе проверка исходящего трафика SSL, проверка сети на основе предварительных описаний (NIS), блокирование вредоносных программ на шлюзе. Давайте рассмотрим основные возможности и базовую конфигурацию пакета Forefront TMG 2010.

Установка Forefront TMG 2010

Для работы Forefront TMG 2010 необходима операционная система Windows Server 2008 или Windows Server 2008 R2 (только 64‑разрядные редакции), 2 Гбайт оперативной памяти, 2,5 Гбайт свободного дискового пространства и хотя бы одна сетевая карта. Кроме того, потребуется установить службы.NET Framework 3.5, Windows PowerShell и Microsoft Message Queuing Service с интеграцией Directory Integration.

Вы можете загрузить дистрибутив Forefront TMG 2010 с сайта Microsoft. Для работы над данной статьей я установил Forefront TMG на сервер с системой Windows Server 2008 R2 с двумя сетевыми картами, одна из которых подключена к Интернету, а вторая - к моей локальной сети.

Мастер Preparation Tool будет направлять вас в процессе установки, позволяя выбрать набор необходимых компонентов. На выбор будет предложено три варианта установки пакета Forefront TMG: загрузка компонентов Forefront TMG Services и Forefront TMG Management, установка только компонента Forefront TMG Management и установка системы Enterprise Management Server (EMS) для централизованного управления массивом.

Массивы состоят из нескольких серверов TMG, работающих совместно для обеспечения высокой доступности и масштабируемости. Для простой тестовой конфигурации я выбрал установку компонентов Forefront TMG Services и Management, которые включают в себя службы Forefront TMG и консоль управления.

Сразу после завершения установки система Forefront TMG предлагает набор стартовых мастеров, предназначенных для настройки базовой конфигурации. Наиболее важным из них является мастер Network Settings, который позволяет выбрать топологию конфигурации межсетевого экрана. Процесс настройки оказался неожиданно простым для серверного продукта компании Microsoft.

Возможности Forefront TMG 2010

Система Forefront TMG совмещает в себе механизмы платформы ISA, такие как межсетевой экран, прокси-сервер и удаленный доступ, а также предоставляет комплексное решение для управления рисками. В состав Forefront TMG входят средства просмотра входящего и исходящего трафика HTTPS, средство блокирования загрузки вредоносного программного обеспечения через шлюз, усовершенствованная система инспектирования сети, а также система фильтрации адресов URL на основании их принадлежности к различным категориям, предназначенная для контроля использования сотрудниками ресурсов Интернета («управление производительностью» в терминах Microsoft).

Впервые корпоративный межсетевой экран от компании Microsoft работает на базе 64‑разрядных процессоров, при этом обеспечивается повышенная производительность и более тщательная проверка сети. Другая важная особенность системы Forefront TMG - возможность ее интеграции с пакетом Forefront Protection Manager, консолидирующим данные по вcем продуктам Forefront, что позволяет администраторам настраивать динамическую защиту от угроз, обнаруживаемых в сети.

Помимо мастеров, запускающихся после завершения установки, для настройки службы можно использовать вкладку Role Configuration на основном экране Forefront TMG, которая содержит прямые ссылки на различные экраны консоли. При этом, однако, дополнительные мастера настройки в системе отсутствуют.

Экраны мониторинга и управления (экран 1) обеспечивают обзор всех компонентов системы Forefront TMG, а также других сетевых служб, от которых зависит работа системы, таких как Active Directory (AD) и DNS.

Панель Tasks привязана к узлу Firewall Policy и содержит прямые ссылки на публикацию общих серверов, в частности службы SharePoint или Exchange Mail. В состав пакета Forefront TMG входит фильтр Session Initiation Protocol (SIP), который автоматически управляет открытием и закрытием портов Real Time Protocol (RTP) в сеансах VOIP.

Политика Web Access Policy включает аутентификацию на прокси-сервере, HTTP-сжатие, проверку протокола HTTPS, защиту от вредоносного программного обеспечения и кэширование. Фильтрация адресов URL на основе категорий базируется на информации, предоставляемой ресурсом Microsoft Reputation Services.

Система Forefront TMG, предоставляющая механизмы фильтрации спама и защиты от вирусов для систем Exchange, также может использоваться в качестве ретранслятора SMTP. Если система Forefront TMG установлена на тот же сервер, на котором развернуты службы Exchange Edge Server и Forefront Protection 2010 for Exchange, она может применяться для централизованного управления обменами SMTP, службой «антиспам», а также политиками блокировки вредоносного кода на периметре сети, обеспечивая при этом поддержку работы с массивами.

Механизм проверки сети на основе предварительных описаний в системе Forefront TMG (экран 2) основан на новой технологии от разработчиков Microsoft Research, Generic Application-level Protocol Analyzer (GAPA) и может быть использован для блокировки трафика, направленного к определенным сетевым ресурсам, при обнаружении шаблона атаки.

Проверка сети, также известная как виртуальное исправление (virtual patching), может потребоваться в ситуациях, когда для известной ошибки еще не разработано или не установлено исправление, особенно с учетом того, что новое описание может быть внедрено в систему очень быстро. Кроме того, в системе сохранены стандартные возможности, перешедшие из платформы ISA 2006, такие как обнаружение DNS-атак и предотвращение Flood-атаки.

Несмотря на то что в этом выпуске новым механизмам удаленного доступа уделено мало внимания, основным достоинством компонента TMG Remote Access является поддержка технологии Network Access Protection (NAP), используемой в системе Server 2008. Данная технология отвечает за применение политик работоспособности в тех случаях, когда VPN-клиенты подключаются к сети через систему TMG и заменяют собой громоздкую, построенную на основе сценариев технологию Network Access Quarantine (NAQ), используемую в системе Windows 2003.

В системе Forefront TMG также предусмотрена встроенная поддержка протокола SSTP, что позволяет пользователям Windows Vista и Windows 7 создавать подключения VPN через протокол HTTPS.

Дублирование ISP - превосходное решение для компаний, работающих с несколькими провайдерами услуг Интернета. Система Forefront TMG может не только обнаружить потерю соединения и переадресовать весь трафик в резервную сеть, но и обеспечить балансировку нагрузки между несколькими каналами (если одно из подключений более быстрое, большая часть трафика будет перенаправлена на него).

Как и платформа ISA, компонент Firewall Client системы Forefront TMG может создавать подробные отчеты о действиях пользователей и сетевом трафике. Модуль Firewall Client является дополнительным компонентом, который может быть установлен на рабочие станции и ноутбуки. Данный компонент особенно полезен в организациях с высокими требованиями к безопасности.

Модуль Firewall Client может быть настроен на использование службы каталогов AD для безопасного обнаружения доверенных веб- и прокси-серверов вместо протокола Web Proxy Auto-Discovery Protocol (WPAD), менее безопасного и более сложного в настройке.

Рассел Смит ([email protected]) - независимый ИТ-консультант, специализируется на управлении системами

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение.

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

• уведомления HTTPS осмотра
• поддержку AD Marker

Стандартные функции TMG клиента

• Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
• Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
• Упрощенная настройка маршрутизации в больших организациях
• Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.

Начните процесс установки и следуйте указаниям мастера.

Рисунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Рисунок 7: Сообщение об использовании осмотра защищенных подключений

Заключение

В этой статье я предоставил вам обзор процесса установки и настройки нового Microsoft Forefront TMG клиента. Я также показал вам некоторые новые функции этого Forefront TMG клиента. На мой взгляд, вам следует использовать TMG клиента в любой возможной среде, поскольку он предоставляет вам дополнительные функции безопасности.

Я планирую создание нового сайта и на этот раз собираюсь использовать Drupal. Ибо WordPress показал себя не очень хорошо на возросших нагрузках. На Drupal создание сайтов так же просто и надежно, а маштабируемость и надежность решения намного выше.

Очень хороший сайт с достойным ассортиментом детских игр:обучающие игры для ребенка , развивающие игры и многое другое.

Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).

Установку Windows Server в виртуальную машину мы рассматривали в статье:

Так-же нам потребуеться виртуальная машина с настроенным DNS сервером (мы используем Windows Server 2008 R2 с установленным DNS сервером)
и одним внутренним интерфейсом (тип Внутренняя сеть).

После загрузки файла дважды нажмите на нем, откроеться мастер установки:

Ждем пока распакуеться:

После распаковки файлов вы увидите приветственную страницу:

Нажимаем "запустить средство подготовки", откроеться окно:

Принимаем лицензионное соглашение:

Вводим имя пользователя и организацию:

Откроется окно выбора сетевой платы (выбираем плату внутренней сети):

По окончании мастера установки, в открывшемся окне ставим галку "запустить програму управления":

Появиться веб-страничка об успешной установке и окно мастера начальной настройки:

В мастере нажимаем "настройка параметров сети", откроеться мастер настройки сети:

Указываем сетевую плату внутренней сети:

Указываем сетевую плату внешней сети(на скриншоте установлен DNS 192.168.137.1 - это не правильно, DNS-сервер должен быть один на вутренней сети, а сдесь графа DNS-сервера должна быть пустой):

Проверяем правильность:

В открывшемся мастере начальной настройки нажимаем "настройка системных параметров":

В открывшемся мастере пока оставляем все как есть:

Сдесь мы устанавливаем настройки обновления:

Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт:

На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее:

На этом действии работа мастера первоначальной настройки завершена:

Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов:

На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений:

После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG.

Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки:

На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет:

Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик:

Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена:

Все проверяем:

На этом первоначальная настройка завершена.

Большинство сказанного ниже в равной степени относится как к TMG (Threat Management Gateway 2010), так и к ISA 2006.

Многое в этих микрософтовских произведениях можно понять, многое увидеть и разобраться, глядя на графический интерфейс, но некоторые вещи необходимо просто знать, иначе ничего не заработает.

Ресурсов для ТМГ, как и для любого продукта микрософт, требуется несуразно много. ЦПУ — не меньше 4 ядер, больше-лучше, (гипертрейдинг) HT — приветствуется, ОЗУ — не меньше 4 Гб, в нагруженных конфигурациях (до 12 000 клиентов) требуется до 12 Гб. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). В частности, на TMG 2010, к которому подключен 1 клиент, не обращающийся в данный момент к интернету, монитор производительности показал загрузку 2 ЦПУ = 1…5 %, ОЗУ = 2.37 Гб.

Сервер TMG поддерживает 3 способа работы через него:
— Клиент TMG — специальная программа устанавливается на ПК (годится клиент от ISA 2006);
— Клиент Web-proxy — настройка клиентского приложения для работы через прокси;
— Клиент SecureNat — в свойствах TCP/IP в качестве шлюза по умолчанию указан сервер TMG.

Управление доступом на основании учетных записей (AD или на самом TMG 2010) возможно либо с использованием Клиента TMG либо клиентом Web-proxy. Последнее означает, что никакого специального клиента на ПК не ставится, а клиентское приложение умеет работать через прокси-сервер и на нем настроены в качестве proxy-сервера адрес и порт сервера TMG. Клиент SecureNat авторизацию НЕ поддерживает.

Правила доступа на сервер TMG проверяются последовательно сверху вниз. Как только запрос клиента подошел под одно из правил (по трем полям: Protocol, From, To), так просмотр правил прекращается, т.е. остальные — игнорируются. И если запрос не удовлетворяет полю Condition этого правила, то доступ клиенту не предоставляется, несмотря на то, что следом может идти правило, разрешающее такой доступ.

Пример . Пользователь с установленным клиентом ТМГ и шлюзом по умолчанию, настроенным на сервер ТМГ запускает программу Outlook 2010. Учетная запись этого пользователя входит в группу безопасности AD-Internet.

Правило 3 разрешает весь исходящий трафик для пользователей, входящих в группу AD-Internet. Но программа Outlook не сможет связаться с внешним почтовым сервером, потому что с настройками по умолчанию Клиент ТМГ НЕ перехватывает запросы Outlook, а клиент SecureNat не умеет авторизоваться, и не сможет доказать серверу TMG, что его пользователь входит в группу AD-Internet. Однако, почтовый протокол попадает под определение “All Outbound Traffic”, а направление «From: Internal, To:External» соответствует запросу клиента, и поэтому обработка правил прекращается именно на правиле №3.

Если правила 3 и 4 переставить местами, то Outlook работать будет, потому что правило 4 не требует авторизации. Другой способ — в правиле 3 (не перемещая его) ограничить список протоколов, например оставить только HTTP и FTP. Тогда запрос от программы Outlook не “зацепится” за правило 3 и проверка дойдет до правила 4, по которому клиент получит доступ.

Есть еще способ пробиться через правила рис.1. Вернемся к упомянутым выше настройкам по умолчанию . Клиент ТМГ не перехватывает запросы Outlook потому, что в настройках приложений (Application Settings) клиент ТМГ отключен.

В левом дереве консоли управления Forefront TMG узел Networking, в средней части закладка Networks, сеть Internal, на правой панели закладка Tasks, пункт Configure Forefront TMG Client Settings. (На ISA 2006: Configuration — General — Define Firewall Client Settings.)

Если изменить здесь значение с 1 на 0, то Outlook будет работать через ТМГ по правилу доступа №3, приведенному на рис. 1.

А теперь вопрос на засыпку: почему в конфигурации Рис.1 не ходят пинги?

Ответ . Ping соответствует по параметрам (Protocol, From, To) правилу №3, и по этому просмотр правил доступа прекращается именно на правиле №3. Но Ping не умеет авторизоваться, поэтому для него доступ запрещен. Можно, например, над правилом №3 сделать отдельное правило:

Протокол = PING
From = Internal или All Networks
To = External
Users = All Users

Как подключить аудитора (чужака) к Интернету

Предполагается, что у аудитора свой ноут и его в свой домен вводить не будем.

Способ 1 . Задать на его ПК IP-адрес из разрешенного диапазона (требуются права администратора на его ПК).

Способ 2 . В браузере указать Прокси: IP-адрес и порт своего ТМГ. Предварительно на ТМГ сделать локальную учетку и дать её аудитору. Оптичить Basic в вариантах авторизации.

Параметры адаптеров

(в трехзвенной архитектуре):

			должен быть
	внутренний сервер
Register this connection’s address in DNS
NetBIOS over TCP/IP
Client for Microsoft Network
File and Print Sharing for Microsoft Networks
Show icon in notification area when connected

Int — внутренний (смотрит в локальную сеть), Per — сеть периметра (она же DMZ), Ext (внешний, подключен к интернету непосредственно или через другое оборудование).

Обратите внимание : Отключение ‘File and Print Sharing for Microsoft Networks’ на внутреннем интерфейсе ISA сервера не позволит подключаться к общим папкам (шарам) этого ISA сервера, независимо от системной политики или каких-то других правил доступа. Это рекомендуется для лучшей безопасности, т.к. общим папкам совершенно не место на фаерволе.

Порядок соединений (в окне Network Connections меню Advanced — Advanced Settings — вкладка Adapters and Bindings):
— Int,
— Per,
— Ext.