Εγκατάσταση του προγράμματος-πελάτη TMG. Microsoft Forefront TMG – εγκατάσταση και διαμόρφωση του προγράμματος-πελάτη Forefront TMG

Απειλή Microsoft Forefront Πύλη διαχείρισης(TMG) 2010 βασίζεται σε μεγάλο βαθμό σε μια ποικιλία υπηρεσιών για τη διατήρηση της ασφάλειας του δικτύου και της βέλτιστης απόδοσης. Η διαμόρφωση των διεπαφών δικτύου και ιδιαίτερα η ανάλυση ονομάτων διαδραματίζει βασικό ρόλο, ειδικά εάν το TMG έχει ρυθμιστεί ως διακομιστής μεσολάβησης προς τα εμπρός και προς τα πίσω. Από την εμπειρία μου, πολλά προβλήματα με το TMG προκλήθηκαν από λανθασμένες ρυθμίσεις DNS. Σε αυτό το άρθρο θα ήθελα να μιλήσω για τη ρύθμιση διεπαφών δικτύου και απαιτήσεις για Διακομιστές DNS m για σωστή ανάλυση ονόματος στο TMG.

Απαιτήσεις για διακομιστές DNS

Όταν επιλέγετε έναν διακομιστή DNS στο TMG, υπάρχουν αρκετοί σημαντικοί παράγοντες που πρέπει να λάβετε υπόψη. Με πολύ λίγες εξαιρέσεις, το TMG θα πρέπει να ρυθμιστεί ώστε να χρησιμοποιεί μόνο εσωτερικούς διακομιστές DNS που μπορούν να επιλύσουν τον εσωτερικό χώρο διευθύνσεων καθώς και τις εξωτερικές διευθύνσεις. Για να διασφαλιστεί η απρόσκοπτη λειτουργία, αυτοί οι διακομιστές DNS πρέπει να συνδέονται μέσω γρήγορων συνδέσεων και να διαθέτουν επαρκείς πόρους για την επιτυχή επεξεργασία όλων των εισερχόμενων αιτημάτων επίλυσης ονόματος. Αυτό εξαρτάται εξ ολοκλήρου από το πόσοι χρήστες είναι συνδεδεμένοι στο TMG και πώς συνδέονται. Το Web Proxy Client και το TMG Client εξαρτώνται πλήρως από το TMG για την ανάλυση ονομάτων, αυξάνοντας το φόρτο στους διακομιστές DNS. Οι πελάτες SecureNAT εκτελούν την ανάλυση μόνοι τους. Εάν οι διακομιστές DNS είναι πολύ συμφορημένοι ή μεταξύ TMG και Προβλήματα DNSμε τα κανάλια επικοινωνίας, μπορεί να αντιμετωπίσετε μια μεγάλη ποικιλία προβλημάτων με το TMG. Για παράδειγμα, το αποτέλεσμα αυτού θα μπορούσε να είναι αργή φόρτωσησελίδων ή αίτημα ελέγχου ταυτότητας για τους χρήστες που πρέπει να πιστοποιούνται με διαφάνεια χρησιμοποιώντας NTLM ή Kerberos.

Διαμόρφωση διεπαφής δικτύου

Η ρύθμιση μιας διεπαφής δικτύου στο TMG με μία διεπαφή δικτύου είναι πολύ απλή: η διεύθυνση IP, η μάσκα, η πύλη και ο διακομιστής DNS είναι όλα ρυθμισμένα στην τοπική διεπαφή. Η κατάσταση γίνεται κάπως πιο περίπλοκη όταν υπάρχουν πολλές διεπαφές δικτύου. Εάν το TMG έχει πολλαπλές διεπαφές δικτύου, τότε κάθε διεπαφή πρέπει να έχει τη δική της μοναδική μάσκα IP και υποδικτύου. Ωστόσο, ανεξάρτητα από το πόσες διεπαφές δικτύου έχετε, μπορείτε να έχετε μόνο μία προεπιλεγμένη πύλη και στην εξωτερική διεπαφή. Ποτέ μην διαμορφώνετε μια προεπιλεγμένη πύλη σε μια διεπαφή διαφορετική από την εξωτερική (εκτός εάν διαμορφώσετε τον πλεονασμό ISP, στον οποίο και οι δύο μπροστινό μέροςκαι έχουν τις δικές τους προεπιλεγμένες πύλες). Εάν πρέπει να αποκτήσετε πρόσβαση σε οποιοδήποτε απομακρυσμένο υποδίκτυο εντός του δικτύου ή στο περιμετρικό δίκτυο, χρησιμοποιήστε μόνιμες στατικές διαδρομές.

Η σειρά εκχώρησης διεπαφών δικτύου

Για TMG με πολλές διεπαφές δικτύου, υπάρχει μια ακόμη ρύθμιση που πολύ συχνά και αδικαιολόγητα ξεχνιέται. Αυτή είναι η σειρά με την οποία συνδέονται οι διεπαφές δικτύου. Ανοιξε Κέντρο δικτύου και κοινής χρήσης, κάντε κλικ στον σύνδεσμο Αλλάξτε τις ρυθμίσεις του προσαρμογέα. Επόμενο κλικ στο ΠροχωρημένοςΚαι Προηγμένες ρυθμίσεις…

Επιλέξτε μια καρτέλα Προσαρμογείς και δεσμίδεςκαι βεβαιωθείτε ότι η εσωτερική διεπαφή δικτύουέρχεται πρώτος στη λίστα. Εάν δεν συμβαίνει αυτό, επιλέξτε το και χρησιμοποιήστε τα βέλη στα δεξιά για να το μετακινήσετε στην πρώτη θέση.

Ρυθμίσεις DNS

Οι διακομιστές DNS θα πρέπει να καθορίζονται μόνο στην εσωτερική διεπαφή. Μην διαμορφώνετε το DNS σε καμία άλλη διεπαφή. Ένα πολύ συνηθισμένο λάθος είναι όταν οι διαχειριστές καθορίζουν τις διευθύνσεις των διακομιστών DNS του παρόχου στην εξωτερική διεπαφή εκτός από τους εσωτερικούς διακομιστές DNS που καθορίζονται στην εσωτερική διεπαφή.

Εξαίρεση στον κανόνα

Υπάρχει μόνο ένας τύπος ανάπτυξης TMG που επιτρέπει τον καθορισμό διακομιστών DNS στην εξωτερική διεπαφή. Σε αυτό το σενάριο, το TMG δεν είναι μέλος τομέα και δεν σχετίζεται με εσωτερικούς πόρους.

Εσωτερικοί ριζικοί διακομιστές DNS

Σε ορισμένες περιπτώσεις, οι εσωτερικοί διακομιστές DNS δεν μπορούν να επιλύσουν εξωτερικές διευθύνσεις. Αυτό μπορεί να συμβαίνει, για παράδειγμα, όταν οι εσωτερικοί διακομιστές DNS έχουν ρυθμιστεί ως διακομιστές ρίζας για τον εσωτερικό χώρο ονομάτων σας. Ωστόσο, οι απαιτήσεις της TMG παραμένουν αμετάβλητες. Η λειτουργία του απαιτεί τη δυνατότητα επίλυσης τόσο εσωτερικών όσο και εξωτερικών διευθύνσεων.

Σε αυτό το σενάριο, πρέπει να ρυθμίσετε τις παραμέτρους του διακομιστή DNS για το TMG ώστε να πληροί αυτές τις απαιτήσεις. Ο καλύτερος τρόπος για να γίνει αυτό είναι να ρυθμίσετε έναν αποκλειστικό διακομιστή DNS προσωρινής αποθήκευσης με ρυθμισμένη την προώθηση.

Χρήσιμες πληροφορίες

sivpk.ru - ένας ιστότοπος για την επιλογή και τη συναρμολόγηση ενός υπολογιστή. Εδώ μπορείτε να διαβάσετε για την επιλογή και τη σύνθεση ενός υπολογιστή παιχνιδιών, πολυμέσων και γραφείου.

Ένας ενδιαφέρον ιστότοπος που έχει μια λεπτομερή ανασκόπηση της φιλοξενίας και άλλων ενδιαφέροντα άρθρασχετικά με την επιλογή φιλοξενίας, εργαλεία webmaster και πολλά άλλα.

Τα περισσότερα από αυτά που αναφέρονται παρακάτω ισχύουν εξίσου τόσο για το TMG (Threat Management Gateway 2010) όσο και για το ISA 2006.

Πολλά σε αυτά τα έργα της Microsoft μπορούν να γίνουν κατανοητά, ορατά και κατανοητά κοιτάζοντας τη γραφική διεπαφή, αλλά μερικά πράγματα απλά πρέπει να γνωρίζετε, διαφορετικά τίποτα δεν θα λειτουργήσει.

Το TMG, όπως κάθε προϊόν της Microsoft, απαιτεί έναν παράλογα μεγάλο όγκο πόρων. CPU - τουλάχιστον 4 πυρήνες, περισσότεροι είναι καλύτερο, (υπερεμπόριο) HT - ευπρόσδεκτο, RAM - τουλάχιστον 4 GB, σε φορτωμένες διαμορφώσεις (έως 12.000 πελάτες) απαιτείται έως και 12 GB. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). Συγκεκριμένα, στο TMG 2010, στο οποίο είναι συνδεδεμένος 1 πελάτης, χωρίς πρόσβαση αυτή τη στιγμήστο Διαδίκτυο, η οθόνη απόδοσης έδειξε 2 φορτίο CPU = 1...5%, RAM = 2,37 GB.

Ο διακομιστής TMG υποστηρίζει 3 τρόπους για να τον αντιμετωπίσετε:
- πελάτης TMG - ένα ειδικό πρόγραμμα είναι εγκατεστημένο στον υπολογιστή (ένας πελάτης από το ISA 2006 είναι κατάλληλος).
— Πελάτης διακομιστή μεσολάβησης Ιστού — ρύθμιση μιας εφαρμογής πελάτη για εργασία μέσω διακομιστή μεσολάβησης.
— Πελάτης SecureNat—στις ιδιότητες TCP/IP, ο διακομιστής TMG καθορίζεται ως η προεπιλεγμένη πύλη.

Ο έλεγχος πρόσβασης βάσει λογαριασμού (AD ή το ίδιο το TMG 2010) είναι δυνατός είτε χρησιμοποιώντας τον πελάτη TMG είτε τον πελάτη μεσολάβησης Ιστού. Το τελευταίο σημαίνει ότι δεν έχει εγκατασταθεί ειδικός πελάτης στον υπολογιστή και η εφαρμογή πελάτη μπορεί να λειτουργήσει μέσω διακομιστή μεσολάβησης και η διεύθυνση και η θύρα του διακομιστή TMG έχουν διαμορφωθεί ως διακομιστής μεσολάβησης. Το πρόγραμμα-πελάτης SecureNat ΔΕΝ υποστηρίζει εξουσιοδότηση.

Οι κανόνες πρόσβασης για τον διακομιστή TMG ελέγχονται διαδοχικά από πάνω προς τα κάτω. Μόλις το αίτημα του πελάτη ταιριάζει με έναν από τους κανόνες (κατά τρία πεδία: Πρωτόκολλο, Από, Προς), η προβολή των κανόνων σταματά, π.χ. τα υπόλοιπα αγνοούνται. Και αν το αίτημα δεν ικανοποιεί το πεδίο Συνθήκη Αυτόκανόνες, τότε ο πελάτης δεν έχει πρόσβαση, παρά το γεγονός ότι μπορεί να υπάρχει κανόνας που επιτρέπει τέτοια πρόσβαση.

Παράδειγμα. Ένας χρήστης με εγκατεστημένο το πρόγραμμα-πελάτη TMG και την προεπιλεγμένη πύλη ρυθμισμένη στον διακομιστή TMG εκκινεί το Outlook 2010. λογαριασμόςΑυτός ο χρήστης είναι μέλος της ομάδας ασφάλειας AD-Internet.

Ο κανόνας 3 επιτρέπει τα πάντα εξερχόμενη κυκλοφορίαγια χρήστες που ανήκουν στην ομάδα AD-Internet. Ωστόσο, το Outlook δεν θα μπορεί να επικοινωνήσει με τον εξωτερικό διακομιστή αλληλογραφίας επειδή προεπιλεγμένες ρυθμίσειςΤο πρόγραμμα-πελάτης TMG ΔΕΝ παρακολουθεί αιτήματα του Outlook και το πρόγραμμα-πελάτη SecureNat δεν γνωρίζει πώς να πραγματοποιήσει έλεγχο ταυτότητας και δεν θα μπορεί να αποδείξει στον διακομιστή TMG ότι ο χρήστης του είναι μέλος της ομάδας AD-Internet. Ωστόσο, το πρωτόκολλο αλληλογραφίας εμπίπτει στον ορισμό "Όλη η εξερχόμενη κυκλοφορία" και η κατεύθυνση "Από: Εσωτερικό, Προς: Εξωτερικό" αντιστοιχεί στο αίτημα του πελάτη και, επομένως, η επεξεργασία των κανόνων σταματά στον κανόνα Νο. 3.

Εάν οι κανόνες 3 και 4 αντικατασταθούν, το Outlook θα λειτουργήσει επειδή ο κανόνας 4 δεν απαιτεί εξουσιοδότηση. Ένας άλλος τρόπος είναι να περιορίσετε τη λίστα των πρωτοκόλλων στον κανόνα 3 (χωρίς να την μετακινήσετε), για παράδειγμα, αφήνοντας μόνο τα HTTP και FTP. Τότε το αίτημα από το Outlook δεν θα «πιάσει» στον κανόνα 3 και ο έλεγχος θα φτάσει στον κανόνα 4, σύμφωνα με τον οποίο ο πελάτης θα αποκτήσει πρόσβαση.

Υπάρχει ένας άλλος τρόπος για να παραβιάσετε τους κανόνες του Σχ. 1. Ας επιστρέψουμε σε αυτά που αναφέρθηκαν παραπάνω προεπιλεγμένες ρυθμίσεις. Το πρόγραμμα-πελάτης TMG δεν παρακολουθεί αιτήματα του Outlook επειδή το πρόγραμμα-πελάτης TMG είναι απενεργοποιημένο στις Ρυθμίσεις εφαρμογής.

Στο αριστερό δέντρο της κονσόλας διαχείρισης Forefront TMG, στον κόμβο Networking, στο μεσαίο τμήμα υπάρχει η καρτέλα Networks, το Internal network, στο δεξιός πίνακαςΚαρτέλα Tasks, στοιχείο Ρυθμίσεις πελάτη Forefront TMG. (Στο ISA 2006: Διαμόρφωση - Γενικά - Ορισμός ρυθμίσεων προγράμματος-πελάτη τείχους προστασίας.)

Εάν αλλάξετε την τιμή εδώ από 1 σε 0, τότε το Outlook θα λειτουργήσει μέσω του TMG σύμφωνα με τον κανόνα πρόσβασης Νο. 3 που φαίνεται στην Εικ. 1.

Και τώρα ερώτησηΓια συμπλήρωση: γιατί δεν υπάρχουν ping στη διαμόρφωση του Σχ. 1;

Απάντηση. Το ping ταιριάζει με τις παραμέτρους (Πρωτόκολλο, Από, Προς) στον κανόνα Νο. 3, και επομένως η προβολή των κανόνων πρόσβασης σταματά στον κανόνα Νο. 3. Αλλά ο Ping δεν ξέρει πώς να εξουσιοδοτήσει, επομένως απαγορεύεται η πρόσβαση σε αυτό. Μπορείτε, για παράδειγμα, να δημιουργήσετε έναν ξεχωριστό κανόνα πάνω από τον κανόνα Νο. 3:

Πρωτόκολλο = PING
Από = Εσωτερικά ή Όλα τα Δίκτυα
Προς = Εξωτερικό
Χρήστες = Όλοι οι χρήστες

Πώς να συνδέσετε έναν ελεγκτή (άγνωστο) στο Διαδίκτυο

Υποτίθεται ότι ο ελεγκτής έχει δικό του φορητό υπολογιστή και δεν θα τον εισάγει στον τομέα του.

Μέθοδος 1. Ορίστε μια διεύθυνση IP στον υπολογιστή του από την επιτρεπόμενη περιοχή (απαιτούνται δικαιώματα διαχειριστή στον υπολογιστή του).

Μέθοδος 2. Στο πρόγραμμα περιήγησης, καθορίστε Proxy: Διεύθυνση IP και θύρα του TMG σας. Πρώτα, δημιουργήστε έναν τοπικό λογαριασμό στο TMG και δώστε τον στον ελεγκτή. Optimize Basic στις επιλογές εξουσιοδότησης.

Ρυθμίσεις προσαρμογέα

(σε αρχιτεκτονική τριών επιπέδων):

θα έπρεπε να είναι

εσωτερικό διακομιστή

Καταχωρίστε τη διεύθυνση αυτής της σύνδεσης στο DNS

NetBIOS μέσω TCP/IP

Πελάτης για το Microsoft Network

Κοινή χρήση αρχείων και εκτυπώσεων για δίκτυα Microsoft

Εμφάνιση εικονιδίου στην περιοχή ειδοποιήσεων όταν είναι συνδεδεμένο

Int— εσωτερικό (βλέπει στο τοπικό δίκτυο), Ανά- περιμετρικό δίκτυο (γνωστός και ως DMZ), Εξωτ(εξωτερική, συνδεδεμένη απευθείας στο Διαδίκτυο ή μέσω άλλου εξοπλισμού).

Σημείωση: Η απενεργοποίηση της «Κοινή χρήση αρχείων και εκτυπώσεων για δίκτυα Microsoft» στην εσωτερική διεπαφή του διακομιστή ISA δεν θα επιτρέψει τη σύνδεση με κοινόχρηστους φακέλους(μερίδια) αυτού του διακομιστή ISA, ανεξάρτητα από την πολιτική συστήματος ή οποιουσδήποτε άλλους κανόνες πρόσβασης. Αυτό συνιστάται για καλύτερη ασφάλεια, επειδή... Οι κοινόχρηστοι φάκελοι δεν έχουν καμία απολύτως θέση στο τείχος προστασίας.

Εντολή σύνδεσης(στο παράθυρο "Συνδέσεις δικτύου" στο μενού "Για προχωρημένους" - "Ρυθμίσεις για προχωρημένους" - καρτέλα "Προσαρμογείς και συνδέσεις"):
— Int.
-Ανά,
- Εξωτ.

Αυτό το προϊόν αντικατέστησε το σύστημα διαδικτυακή ασφάλειακαι Acceleration Server (ISA) 2006; Ενσωματώνεται με το Forefront Protection Manager, παλαιότερα γνωστό ως Stirling (επί του παρόντος σε beta με προγραμματισμένη κυκλοφορία παραγωγής φέτος), το οποίο παρέχει κεντρική διαχείριση της οικογένειας προϊόντων Microsoft Forefront. Οι κινητήρες Forefront TMG συνδέονται με την κονσόλα Forefront Protection Manager μέσω Σύστημα ασφαλείαςΑξιολόγηση Κοινή χρήση (SAS).

Οι εκδόσεις Forefront TMG 2010 Standard and Enterprise αντικαθιστούν το ISA 2006 και Έκδοση EnterpriseΥποστηρίζει την ανάπτυξη συστοιχιών και συστημάτων TMG με απεριόριστο αριθμό επεξεργαστών, καθώς και τη διαχείριση αυτών των συστοιχιών και συστημάτων.

Η Microsoft αποκαλεί το Forefront TMG 2010 ένα ολοκληρωμένο εργαλείο διαχείρισης κινδύνου. Το Forefront περιλαμβάνει χαρακτηριστικά δεν είναι διαθέσιμο στο σύστημα ISA, συμπεριλαμβανομένης της εξερχόμενης επιθεώρησης SSL, της επιθεώρησης δικτύου με βάση τις εισαγωγικές περιγραφές (NIS) και του αποκλεισμού κακόβουλου λογισμικού πύλης. Ας δούμε τα κύρια χαρακτηριστικά και τη βασική διαμόρφωση του Forefront TMG 2010.

Εγκατάσταση του Forefront TMG 2010

Το Forefront TMG 2010 απαιτεί Windows Server 2008 ή Windows Server 2008 R2 (μόνο εκδόσεις 64-bit), 2 GB μνήμη τυχαίας προσπέλασης, 2,5 GB ελεύθερου χώρου στο δίσκο και τουλάχιστον μία κάρτα δικτύου. Επιπλέον, θα χρειαστεί να εγκαταστήσετε το .NET Framework Services 3.5, Windows PowerShellκαι Microsoft Message Quueing Service με ενσωμάτωση καταλόγου.

Μπορείτε να κάνετε λήψη της διανομής Forefront TMG 2010 από τον ιστότοπο της Microsoft. Για αυτό το άρθρο, εγκατέστησα το Forefront TMG σε έναν διακομιστή με Windows Server 2008 R2 με δύο κάρτες δικτύου, η μία συνδεδεμένη στο Internet και η άλλη στο τοπικό μου δίκτυο.

Ο οδηγός του Εργαλείου προετοιμασίας θα σας καθοδηγήσει στη διαδικασία εγκατάστασης, επιτρέποντάς σας να επιλέξετε τα απαιτούμενα εξαρτήματα. Θα σας δοθούν τρεις επιλογές για να εγκαταστήσετε το πακέτο Forefront TMG: λήψη των στοιχείων Forefront TMG Services και Forefront TMG Management, εγκατάσταση μόνο του στοιχείου Forefront TMG Management και εγκατάσταση του Enterprise Management Server (EMS) για κεντρική διαχείριση της συστοιχίας.

Οι συστοιχίες αποτελούνται από πολλούς διακομιστές TMG που συνεργάζονται για να παρέχουν υψηλή διαθεσιμότητα και επεκτασιμότητα. Για μια απλή δοκιμαστική διαμόρφωση, επέλεξα να εγκαταστήσω τα στοιχεία του Forefront TMG Services and Management, τα οποία περιλαμβάνουν τις υπηρεσίες Forefront TMG και την Κονσόλα διαχείρισης.

Μόλις ολοκληρωθεί η εγκατάσταση, το Forefront TMG προσφέρει ένα σύνολο οδηγών εκκίνησης που θα σας βοηθήσουν να ρυθμίσετε τις βασικές ρυθμίσεις παραμέτρων. Το πιο σημαντικό από αυτά είναι ο οδηγός ρυθμίσεων δικτύου, ο οποίος σας επιτρέπει να επιλέξετε την τοπολογία διαμόρφωσης του τείχους προστασίας. Η διαδικασία εγκατάστασης ήταν εκπληκτικά απλή για ένα προϊόν διακομιστή Microsoft.

Χαρακτηριστικά Forefront TMG 2010

Το Forefront TMG συνδυάζει τα χαρακτηριστικά της πλατφόρμας ISA, όπως π.χ τείχος προστασίας, διακομιστή μεσολάβησης και απομακρυσμένη πρόσβαση, και παρέχει επίσης ολοκληρωμένη λύσηγια τη διαχείριση κινδύνων. Το Forefront TMG περιλαμβάνει την προβολή εισερχόμενης και εξερχόμενης κίνησης HTTPS, έναν αποκλεισμό πύλης για κακόβουλο λογισμικό, ένα προηγμένο σύστημα επιθεώρησης δικτύου και ένα σύστημα φιλτραρίσματος. URLμε βάση τη συμμετοχή τους σε διάφορες κατηγορίες, που έχουν σχεδιαστεί για την παρακολούθηση της χρήσης πόρων του Διαδικτύου από τους εργαζόμενους («διαχείριση απόδοσης» με όρους Microsoft).

Για πρώτη φορά, ένα εταιρικό τείχος προστασίας από τη Microsoft εκτελείται σε επεξεργαστές 64-bit ενώ παρέχει αυξημένη παραγωγικότητακαι πιο ενδελεχής έλεγχος δικτύου. Ένα άλλο σημαντικό χαρακτηριστικό του Forefront TMG είναι η ικανότητά του να ενσωματώνεται με το Forefront Protection Manager, το οποίο ενοποιεί δεδομένα σε όλα τα προϊόντα Forefront, επιτρέποντας στους διαχειριστές να διαμορφώνουν τη δυναμική προστασία έναντι απειλών που εντοπίζονται στο δίκτυο.

Εκτός από τους οδηγούς που εκτελούνται μετά την ολοκλήρωση της εγκατάστασης, μπορείτε να χρησιμοποιήσετε την καρτέλα Role Configuration στην κύρια οθόνη του Forefront TMG για να διαμορφώσετε την υπηρεσία, η οποία περιέχει απευθείας συνδέσμους προς διάφορες οθόνεςκονσόλες. Ωστόσο, δεν υπάρχουν πρόσθετοι οδηγοί εγκατάστασης στο σύστημα.

Οι οθόνες παρακολούθησης και διαχείρισης (Οθόνη 1) παρέχουν μια επισκόπηση όλων των στοιχείων του συστήματος Forefront TMG, καθώς και άλλων υπηρεσιών δικτύου από τις οποίες εξαρτάται το σύστημα, όπως το Active Directory (AD) και το DNS.

Ο πίνακας Tasks είναι συνδεδεμένος με τον κόμβο Πολιτικής τείχους προστασίας και περιέχει άμεσους συνδέσμους προς δημοσίευση κοινόχρηστων διακομιστών, όπως το SharePoint ή Ανταλλαγή αλληλογραφίας. Το Forefront TMG περιλαμβάνει ένα φίλτρο Session Initiation Protocol (SIP) που ελέγχει αυτόματα το άνοιγμα και το κλείσιμο των θυρών του πρωτοκόλλου πραγματικού χρόνου (RTP) σε περιόδους λειτουργίας VOIP.

Η πολιτική πρόσβασης στο Web περιλαμβάνει έλεγχο ταυτότητας διακομιστή μεσολάβησης, συμπίεση HTTP, επαλήθευση Πρωτόκολλο HTTPS, προστασία από κακόβουλο λογισμικό και προσωρινή αποθήκευση. Το φιλτράρισμα URL βάσει κατηγορίας βασίζεται σε πληροφορίες που παρέχονται από τις Υπηρεσίες φήμης της Microsoft.

Το Forefront TMG, το οποίο παρέχει φιλτράρισμα ανεπιθύμητων μηνυμάτων και προστασία από ιούς για συστήματα Exchange, μπορεί επίσης να χρησιμοποιηθεί ως ρελέ SMTP. Όταν το Forefront TMG είναι εγκατεστημένο στον ίδιο διακομιστή στον οποίο έχουν αναπτυχθεί ο Exchange Edge Server και το Forefront Protection 2010 for Exchange, μπορεί να χρησιμοποιηθεί για την κεντρική διαχείριση πολιτικών SMTP ανταλλαγών, antispam και αποκλεισμού κακόβουλου κώδικα στην περίμετρο του δικτύου, διασφαλίζοντας ότι αυτό παρέχει υποστήριξη για εργασία με πίνακες.

Ο προκαθορισμένος μηχανισμός επιθεώρησης δικτύου της Forefront TMG (Εικόνα 2) βασίζεται στη νέα τεχνολογία της Microsoft Research, τον Generic Application Level Protocol Analyzer (GAPA) και μπορεί να χρησιμοποιηθεί για τον αποκλεισμό της κυκλοφορίας που κατευθύνεται σε συγκεκριμένες πόρους δικτύου, όταν ανιχνεύεται ένα μοτίβο επίθεσης.

Η δοκιμή δικτύου, γνωστή και ως εικονική ενημέρωση κώδικα, ενδέχεται να απαιτείται σε περιπτώσεις όπου δεν έχει αναπτυχθεί ή εγκατασταθεί ακόμη μια επιδιόρθωση για ένα γνωστό σφάλμα, ειδικά επειδή μια νέα περιγραφή μπορεί να εισαχθεί πολύ γρήγορα στο σύστημα. Επιπλέον, το σύστημα περιέχει τυποποιημένα χαρακτηριστικάχαρακτηριστικά που μεταφέρονται από την πλατφόρμα ISA 2006, όπως η ανίχνευση επιθέσεων DNS και η πρόληψη επιθέσεων πλημμύρας.

Αν και λίγη προσοχή δίνεται στους νέους μηχανισμούς απομακρυσμένης πρόσβασης σε αυτήν την έκδοση, το κύριο πλεονέκτημα του TMG Remote Access είναι η υποστήριξή του για την τεχνολογία Network Access Protection (NAP) που χρησιμοποιείται σε Σύστημα διακομιστή 2008. Αυτή η τεχνολογίαΥπεύθυνος για την επιβολή πολιτικών υγείας όταν οι πελάτες VPN συνδέονται στο δίκτυο μέσω TMG, αντικαθιστώντας τη δυσκίνητη, βασισμένη σε σενάρια τεχνολογία Network Access Quarantine (NAQ) που βρίσκεται στα Windows 2003.

Το Forefront TMG διαθέτει επίσης ενσωματωμένη υποστήριξη SSTP, που σας επιτρέπει χρήστες WindowsΤα Vista και τα Windows 7 δημιουργούν συνδέσεις VPN μέσω HTTPS.

Η αντιγραφή ISP είναι μια εξαιρετική λύση για εταιρείες που λειτουργούν με πολλούς παρόχους υπηρεσιών Διαδικτύου. Όχι μόνο μπορεί το Forefront TMG να ανιχνεύσει μια χαμένη σύνδεση και να ανακατευθύνει όλη την κίνηση σε ένα εφεδρικό δίκτυο, αλλά μπορεί επίσης να παρέχει εξισορρόπηση φορτίου σε πολλαπλούς συνδέσμους (αν μία σύνδεση είναι ταχύτερη, η περισσότερη κίνηση θα ανακατευθυνθεί σε αυτήν).

Όπως η πλατφόρμα ISA, ο πελάτης Firewall του Forefront TMG μπορεί να δημιουργήσει λεπτομερείς αναφορές σχετικά με τη δραστηριότητα των χρηστών και την κίνηση του δικτύου. Η μονάδα Firewall Client είναι ένα πρόσθετο στοιχείο που μπορεί να εγκατασταθεί σε σταθμούς εργασίας και φορητούς υπολογιστές. Αυτό το στοιχείο είναι ιδιαίτερα χρήσιμο σε οργανισμούς με υψηλές απαιτήσειςστην ασφάλεια.

Η λειτουργική μονάδα Firewall Client μπορεί να ρυθμιστεί ώστε να χρησιμοποιεί την υπηρεσία καταλόγου AD για την ασφαλή ανακάλυψη αξιόπιστων διακομιστών Web και μεσολάβησης αντί για το Πρωτόκολλο Auto-Discovery Proxy Web (WPAD), το οποίο είναι λιγότερο ασφαλές και πιο περίπλοκο στη διαμόρφωση.

Ράσελ Σμιθ ( [email προστατευμένο]) - ανεξάρτητος σύμβουλος πληροφορικής, με ειδίκευση στη διαχείριση συστημάτων

Αυτό το υλικό είναι Πρακτική εφαρμογηδύο συγκεκριμένες τεχνολογίες: Microsoft Hyper-V και Microsoft Forefront Threat Management Gateway, που προσφέρονται και οι δύο από τη Microsoft.

Τεχνικά δεδομένα.

Εντός του έργου υπάρχει ΕΝΑΣ φυσικός διακομιστής με δύο κάρτες δικτύου που υποστηρίζει τεχνολογία εικονικοποίησης. Στο πλαίσιο αυτού του άρθρου, είναι απαραίτητο να λυθεί το πρόβλημα της ανάπτυξης μιας αποστρατιωτικοποιημένης ζώνης (DMZ) σε ένα εικονικό δίκτυο.

Πριν εγκαταστήσετε όλα προϊόντα λογισμικούΠρέπει να διαβάσετε τους κανόνες αδειοδότησης, οι οποίοι θα σας επιτρέψουν να υπολογίσετε το κόστος κατοχής του λογισμικού. Συμφωνία άδειαςΗ Microsoft ενημερώνεται τακτικά και είναι πάντα διαθέσιμη στον ιστότοπο της Microsoft.

Στάδιο 1. Εγκατάσταση του λειτουργικού συστήματος σε φυσικό διακομιστή.

Η Microsoft προσφέρει 2 επιλογές εικονικοποίησης:

  1. Γ χρήση Υπερεπόπτη της MicrosoftΔιακομιστής Hyper-V™ 2008.
  2. C χρησιμοποιώντας τον ρόλο διακομιστή Hyper-V ως μέρος του Microsoft WindowsΔιακομιστής R2 2008.

Ως μέρος αυτού του άρθρου, θα παρουσιάσουμε μια επιλογή που χρησιμοποιεί τον ρόλο διακομιστή Hyper-V.

Χρησιμοποιώντας τον hypervisor Microsoft Hyper-V™ Server 2008.

Η Microsoft κυκλοφόρησε ένα προϊόν που σας επιτρέπει να μετατρέψετε έναν φυσικό διακομιστή σε διακομιστή εικονικής μηχανής χωρίς να εγκαταστήσετε λειτουργικό σύστημα (στην πραγματικότητα, το λειτουργικό σύστημα είναι εγκατεστημένο, αλλά είναι εξειδικευμένο για εικονικοποίηση). Το προϊόν ονομάζεται Microsoft Hyper-V Server.

Για να το διαχειριστείτε, πρέπει να χρησιμοποιήσετε το κέλυφος Hyper-V Manager, το οποίο μπορεί να εγκατασταθεί σε λειτουργία συστήματα Windows 7 και Windows Vista ή έχουν γνώσεις χρήσης του Powershell.

Ο hypervisor Microsoft Hyper-V Server 2008 παρέχει τεχνολογία εικονικοποίησης ΔΩΡΕΑΝ, αλλά απαιτεί εξειδικευμένες γνώσεις και δεξιότητες για τη συντήρηση και χρήση πρόσθετου υλικού, όπως μονάδες μαγνητοταινίας ή συστήματα αποθήκευσης.

Χρήση του ρόλου διακομιστή Hyper-V στο MicrosoftΔιακομιστής Windows 2008 R2.

Στο λειτουργικό σύστημα Microsoft Windows 2008 R2, υπάρχει ο ρόλος Hyper-V, ο οποίος παρέχει τη δυνατότητα δημιουργίας εικονικών μηχανών. Ταυτόχρονα, σε έναν φυσικό διακομιστή είναι δυνατή η χρήση ενός πλήρους λειτουργικού συστήματος, το οποίο θα παρέχει στους διαχειριστές την απαραίτητη ελευθερία δράσης.

Περισσότερες πληροφορίες σχετικά με την εγκατάσταση του υπερεπόπτη διακομιστή Microsoft Hyper-V™ και του ρόλου Hyper-V μπορείτε να βρείτε στον ιστότοπο www.microsoft.ru.

Στάδιο 2 Διαχείριση εικονικής υποδομής δικτύου.

Παρά το γεγονός ότι ο διακομιστής είναι φυσικός, είναι δυνατό να μην εκχωρηθούν διευθύνσεις δικτύου σε φυσικές κάρτες δικτύου, γεγονός που θα εξασφαλίσει ασφάλεια φυσικός διακομιστής. Ωστόσο, η έλλειψη σύνδεση δικτύουστο τοπικό δίκτυο αποκλείει την απομακρυσμένη διαχείριση του διακομιστή στον οποίο είναι εγκατεστημένος ο ρόλος Hyper-V. Συνήθως, για τη διαχείριση διακομιστή, εκχωρείται μια διεύθυνση IP πρόσβασης από εσωτερικό δίκτυο.

Αναθέτω διεύθυνση δικτύουσε κάρτα δικτύου συνδεδεμένη στο Διαδίκτυο δεν συνιστάται, καθώς δεν υπάρχουν μέσα για να εξασφαλιστεί η πλήρης προστασία του φυσικού διακομιστή.

Είναι καλύτερο να διαμορφώσετε την τρέχουσα υποδομή δικτύου στον διακομιστή εικονικοποίησης. Δεδομένου ότι η υποδομή δικτύου που εξετάζεται είναι μια υποδομή με τρία πόδια (Εσωτερική - DMZ - Εξωτερική), είναι απαραίτητο να δημιουργηθούν τρία δίκτυα, δύο από τα οποία θα εκχωρηθούν φυσικά σε διαφορετικούς προσαρμογείς δικτύου και το τρίτο θα είναι εικονικό - για τους αποστρατιωτικοποιημένους ζώνη. Αυτό γίνεται μέσω του "Virtual Network Manager", όπως φαίνεται στην Εικόνα 1.

Στο παράθυρο "Virtual Network Manager", επιλέξτε "Create a virtual network". Επιλέξτε τον τύπο "Εξωτερικό" και κάντε κλικ στο "Προσθήκη". Η διαδικασία δημιουργίας δικτύου φαίνεται στο Σχ. 2.

Ως μέρος της υποδομής που δημιουργείται, πρέπει να δημιουργήσουμε 3 τύπους δικτύων: δύο εξωτερικά δίκτυα με συνδέσεις σε διαφορετικούς προσαρμογείς (σύνδεση στο εσωτερικό δίκτυο και σύνδεση με τον πάροχο) και ένα ιδιωτικό δίκτυο εικονικών μηχανών (σύνδεση με διακομιστές DMZ) . Ως αποτέλεσμα, θα έχουμε τρία δίκτυα (Εικ. 3.)

Στάδιο 3. Δημιουργία εικονικών μηχανών.

Όταν δημιουργείτε εικονικές μηχανές που βρίσκονται στην αποστρατιωτικοποιημένη ζώνη, πρέπει να καθορίσετε τον προσαρμογέα Virtual DMZ που δημιουργήθηκε. Η προεπιλεγμένη πύλη θα είναι Διακομιστής Microsoft Forefront Threat Management Gateway. Διαμόρφωση και ένταση σκληροι ΔΙΣΚΟΙεπιλεγεί με βάση τις εργασίες που έχουν ανατεθεί στον διακομιστή.

Για να δημιουργήσετε μια εικονική μηχανή, πρέπει να κάνετε δεξί κλικ στον διακομιστή Hyper-V και να επιλέξετε «Δημιουργία – Εικονική μηχανή». Μετά από αυτό θα ανοίξει ένα παράθυρο πρόσκλησης.

Στο παράθυρο «Καθορισμός ονόματος και τοποθεσίας», πρέπει να προσδιορίσετε το όνομα και τη θέση του αρχείου διαμόρφωσης εικονικού διακομιστή (Εικ. 4.).

Στο παράθυρο «Κατανομή μνήμης» (Εικ. 5), πρέπει να επιλέξετε το μέγεθος της μνήμης RAM. Οι ελάχιστες απαιτήσεις για το Microsoft Forefront Threat Management Gateway είναι 2 GB μνήμης RAM.

Στο παράθυρο "Ρυθμίσεις δικτύου", επιλέξτε μια σύνδεση με το εσωτερικό δίκτυο (Εικονικό Εσωτερικό).

Στο παράθυρο «Σύνδεση εικονικού σκληρού δίσκου», επιλέξτε «Δημιουργία εικονικού σκληρού δίσκου». Καθορίστε το μέγεθος (για Microsoft Windows 2008 R2, τουλάχιστον 11 GB) (Εικ. 7).

Στο παράθυρο "Επιλογές εγκατάστασης", επιλέξτε "Εγκατάσταση λειτουργικό σύστημααργότερα» και κάντε κλικ στο «Επόμενο» (Εικ. 8).

Μετά το παράθυρο "Σύνοψη", κάντε κλικ στο "Τέλος".

Πριν προχωρήσετε σε εγκατάσταση των Windows 2008 R2 Server θα πρέπει να μεταβείτε στις ρυθμίσεις της εικονικής μηχανής FOREFRONT. Κάντε δεξί κλικΚάντε κλικ στην εικονική μηχανή - Ρυθμίσεις...

Και στο παράθυρο "Ρυθμίσεις για ΜΠΡΟΣΤΑ".

Στο παράθυρο, επιλέξτε «Εγκατάσταση υλικού» – «Προσαρμογέας δικτύου» και κάντε κλικ στο «Προσθήκη». Προσθέστε τους δύο εναπομείναντες προσαρμογείς, το Virtual Internet και το Virtual DMZ. Μετά την προσθήκη, η διαμόρφωση του υπολογιστή θα μοιάζει με αυτό:

Μετά από αυτό, προχωράμε στην εγκατάσταση του Microsoft Windows 2008 R2 Server.

Στάδιο 4. Εγκατάσταση του διακομιστή Microsoft Windows 2008 R2.

Ας ξεκινήσουμε την εγκατάσταση του Windows 2008 R2 Server. Αυτό απαιτεί μια εικόνα δίσκου. Μπορείτε να το κατεβάσετε από τον ιστότοπο της Microsoft. Στον ιστότοπο www.microsoft.ru μπορείτε να βρείτε έναν σκληρό δίσκο για εικονικές μηχανές και να τον αντικαταστήσετε με αυτόν που δημιουργήσαμε νωρίτερα.

Στο "Controller 1 IDE" ορίστε το "Image file" και καθορίστε τη θέση του αρχείου εικόνας.

Ας ξεκινήσουμε την εικονική μηχανή.

Στη συνέχεια, μπορείτε να υποβάλετε την προεπιλεγμένη εγκατάσταση των Microsoft Windows 2006 R2 και Microsoft ForeFront Threat Management Gateway. Εντοπίζουμε προσαρμογείς δικτύου και εκχωρούμε διευθύνσεις IP σύμφωνα με τη διαμόρφωση του δικτύου. ΠΡΟΣΟΧΗ! Μόνο μία Προεπιλεγμένη πύλη μπορεί να οριστεί σε έναν υπολογιστή. Συνήθως εκχωρείται στην προεπιλεγμένη πύλη του παρόχου.

Στάδιο 5.Διαμόρφωση της πύλης διαχείρισης απειλών Microsoft Forefront.

Μετά αρχική εκτόξευσηΘα εμφανιστεί το παράθυρο Started Wizard. Μπορεί επίσης να εκκινηθεί μέσω του "Οδηγού εκκίνησης εκκίνησης"

Στις ρυθμίσεις "Επιλογή προτύπου δικτύου", επιλέξτε "Περίμετρος 3 ποδιών", που θα σας επιτρέψει να περιορίσετε και να δημιουργήσετε ένα DMZ. Κάντε κλικ στο «Επόμενο».

Στο παράθυρο «Ρύθμιση τοπικού δικτύου (LAN)», επιλέξτε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στο εσωτερικό τοπικό δίκτυο.

Στο παράθυρο "Ρυθμίσεις Internet", επιλέξτε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στον πάροχο.

Στο παράθυρο "Περιμετρική ρύθμιση δικτύου", προσδιορίζουμε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στους διακομιστές στο DMZ. Στη συνέχεια, πρέπει να επιλέξετε τον τύπο εμπιστοσύνης για αυτό το δίκτυο. Μπορεί να είναι είτε Δημόσιο, όταν η δρομολόγηση χωρίς χρήση NAT θα διαμορφωθεί σε διακομιστές που βρίσκονται στο DMZ, είτε Ιδιωτικό, όταν η δρομολόγηση θα διαμορφωθεί χρησιμοποιώντας NAT. Αυτή η λειτουργία καθορίζεται από το επίπεδο εμπιστοσύνης στο δίκτυο DMZ. Η ιδιωτική λειτουργία θα προστατεύσει πλήρως το δίκτυό σας από την ορατότητα από το DMZ, αλλά ενδέχεται να προκύψουν προβλήματα με τη ρύθμιση κανόνων πρόσβασης.

Αυτό το άρθρο έδειξε πώς μπορείτε να ρυθμίσετε μια περίμετρο 3 ποδιών. Δυστυχώς, στο πλαίσιο αυτού του άρθρου είναι αδύνατο να εμφανιστεί το πλήρες Εγκατάσταση της Microsoft Forefront Threat Management Gateway για οργανισμούς, επειδή κάθε οργανισμός θα έχει τους δικούς του κανόνες πρόσβασης και σχέσεις μεταξύ δικτύων και χρηστών, οι οποίοι περιγράφονται στην πολιτική ασφαλείας.

Βασίλιεφ Ντένις

Και η Win7 Microsoft Corporation ανακοίνωσε μια σειρά από λύσεις που στοχεύουν
για την ενίσχυση της ασφάλειας των δικτύων και των διακομιστών. Αντί για τα ήδη γνωστά ονόματα και
τεχνολογίες, εντελώς νέα ονόματα εμφανίστηκαν στη σκηνή της πληροφορικής. Στο άρθρο
Ας γνωρίσουμε τον σκοπό των προϊόντων της οικογένειας Forefront «Stirling» και αναλυτικά
ας ταξινομήσουμε το πακέτο Forefront TMG, που ήταν ο διάδοχος του ISA Server 2006.

Forefront Ολοκληρωμένο Σύστημα Ασφαλείας «Stirling».

Σχεδόν 9 χρόνια δίκτυα υπολογιστώνπολλές οργανώσεις προστατεύονταν συνεχώς από τον ISA
Διακομιστής ( Microsoft InternetΔιακομιστής ασφάλειας και επιτάχυνσης). Τα θεμέλια τέθηκαν
Ακόμη και στην πρώτη έκδοση, λίγα έχουν αλλάξει στην τρίτη έκδοση του ISA Server 2006:
φιλτράρισμα κίνησης σε διάφορα επίπεδα, υποστήριξη VPN, εργασία με το Active
Κατάλογος, ανάλυση επισκέψεων σε εξωτερικούς πόρους, IDS/IPS και ούτω καθεξής. Φυσικά και όχι,
το προϊόν έχει εξελιχθεί: η διεπαφή έχει επανασχεδιαστεί σημαντικά, νέα
λειτουργίες, αλλά με την πάροδο του χρόνου άλλαξε η ιδεολογία της προστασίας του δικτύου και αναλόγως
Οι διαχειριστές άρχισαν να απαιτούν περισσότερα από τον ISA Server, που ήταν επίσης
Δεν είναι συμβατό με το νέο λειτουργικό σύστημα διακομιστή Win2k8/R2.

Το αποτέλεσμα δεν άργησε να έρθει. Στο συνέδριο RSA το 2008
Η Security εισήχθη ως ο διάδοχος του ISA Server, ο οποίος έλαβε νέο όνομα Πρώτη γραμμή
Πύλη διαχείρισης απειλών (ForefrontTM G, Threat Management Gateway).
Ένα από τα κύρια χαρακτηριστικά Forefront TMGέγινε συνεργασίαΜε
άλλα προϊόντα της νέας πλατφόρμας Σουίτα Forefront Protection(κώδικας
όνομα "Stirling"

www.microsoft.com/forefront/stirling), σχεδιασμένο για ολοκληρωμένες
προστασία και κεντρική διαχείριση των παραμέτρων εταιρικής ασφάλειας
δίκτυα, διακομιστές και σταθμούς εργασίας. Επί του παρόντος περιλαμβάνει:

  • Forefront Client Security(FCS, πρώην Microsoft Client Protection)
    — παρέχει προστασία για διακομιστές και σταθμούς εργασίας από διάφορους τύπους απειλών,
    ιούς, spyware, rootkits και άλλος κακόβουλος κώδικας με τη δυνατότητα
    απλή κεντρική διαχείριση και αναφορά. Το FCS ενσωματώνεται με
    υπάρχουσα υποδομή λογισμικού και συμπληρώνει άλλες τεχνολογίες
    Microsoft Security?
  • Πρώτη γραμμή Ασφάλεια για Exchange Server(πρώην Microsoft Antigen για
    Exchange, εφεξής Forefront Protection 2010 for Exchange Server) -
    προστατεύει το περιβάλλον ανταλλαγής μηνυμάτων του Exchange Server από ιούς, σκουλήκια, ανεπιθύμητα μηνύματα και
    ακατάλληλο περιεχόμενο, για τους σκοπούς αυτούς περιλαμβάνει πολλά
    μηχανές προστασίας από ιούς?
  • Forefront Online Security για το Exchange(FOSE) - βασίζεται σε σύννεφο
    παραλλαγή της προηγούμενης παραγράφου, δηλαδή η FOSE παρέχεται ως υπηρεσία,
    επιτρέποντάς σας να προστατεύσετε το email της εταιρείας σας και να μειώσετε το κόστος
    περιεχόμενο διακομιστή. Ενσωματώνεται όμως με την υπηρεσία καταλόγου Active Directory και τον Exchange Server
    Μπορείτε να χρησιμοποιήσετε οποιονδήποτε άλλο διακομιστή ως διακομιστή αλληλογραφίας.
  • Forefront Security for Office Communications Server- παρέχει
    Προστασία άμεσων μηνυμάτων που παρέχεται από αυτόν τον διακομιστή με έλεγχο
    κυκλοφορία με πολλά προγράμματα προστασίας από ιούς και αποκλεισμός μηνυμάτων με ύποπτα
    περιεχόμενο;
  • Forefront Security για SharePoint t (πρώην Antigen for SharePoint, in
    περαιτέρω Forefront Protection for SharePoint) - προστασία από ιούς των αποθηκευτικών χώρων
    έγγραφα (σε πραγματικό χρόνο και σε χρονοδιάγραμμα), που υλοποιούνται με χρήση
    Υπηρεσία SharePoint, εφαρμογή πολιτικών της εταιρείας σε περιεχόμενο, τύπους και
    επεκτάσεις αρχείων?
  • Forefront Unified Access Gateway(UAG, πρώην Intelligent
    Application Gateway - IAG 2007) - απομακρυσμένη (εισερχόμενη) πύλη πρόσβασης (όχι
    προστασία) σε εφαρμογές, επιτρέποντάς σας να ελέγχετε και να διαχειρίζεστε την πρόσβαση σε
    υπηρεσίες δικτύου «από έξω», μέσω ενός ενιαίου σημείου εισόδου·
  • Forefront Identity Manager(FIM, πρώην Identity Lifecycle Manager)
    — βελτιωμένη πλατφόρμα διαχείρισης ταυτότητας
    βάση υπηρεσιών web που χρησιμοποιεί ευέλικτα εργαλεία ανάθεσης
    δικαιώματα που βασίζονται σε πολιτικές, τα οποία τελικά βελτιώνουν την ασφάλεια και
    δυνατότητα διαχείρισης εταιρικών περιβαλλόντων·
  • Forefront Threat Management Gateway(ο κύριος χαρακτήρας του άρθρου μας) -
    προστασία από απειλές στο Διαδίκτυο, φιλτράρισμα κυκλοφορίας, IDS/IPS, φιλτράρισμα περιεχομένου.

Προηγουμένως, η Microsoft πρόσφερε πολλά διαφορετικά προϊόντα, καθένα από τα οποία
υπερασπίστηκε τον ιστότοπό του, είχε τη δική του κονσόλα διαχείρισης και σύστημα αναφοράς. Τέτοιος
Τα συστήματα προστασίας δεν κλιμακώνονται καλά και είναι άβολα στη διαχείριση. Αντίθετα σήμερα
Αυτό παρέχει στους ειδικούς μια ολοκληρωμένη λύση που λειτουργεί με τον γενικό
βάση δεδομένων ρυθμίσεων, πληροφορίες σχετικά με απειλές, η διαχείριση γίνεται από μια ενιαία κονσόλα και η οποία
μπορεί εύκολα να προσαρμοστεί στις συγκεκριμένες ανάγκες.

Χαρακτηριστικά Forefront TMG

Κύριο συστατικό Forefront TMG(τη στιγμή που γράφτηκε αυτό το άρθρο ήταν
2010 Release Candidate διαθέσιμο) είναι ένα τείχος προστασίας που
ελέγχει την εισερχόμενη και εξερχόμενη κίνηση σύμφωνα με τα καθιερωμένα
πολιτικοί. Αυτό το στοιχείο "κληρονομήθηκε" από τον ISA Server. Ανάμεσα στα νέα προϊόντα
μπορούμε να σημειώσουμε βελτιωμένη υποστήριξη NAT (για παράδειγμα, τώρα δεν υπάρχουν προβλήματα σε περίπτωση
εάν η εξωτερική διεπαφή έχει πολλές διευθύνσεις IP), λειτουργία διαχείρισης
εφεδρικά κανάλια Διαδικτύου (Πλεονασμός ISP, μόνο για εξερχόμενη κίνηση),
εμφάνιση σε ρυθμίσεις τείχους προστασίαςΚαρτέλες VoIP όπου έχει διαμορφωθεί η προστασία
και υποστήριξη για υπηρεσία VoIP (VoIP traversal).

Η λειτουργία IDS/IPS εκτελείται από το εξάρτημα Σύστημα Επιθεώρησης Δικτύου(ΝΑΚ,
Υπηρεσία ελέγχου δικτύου), η κύρια διαφορά από παρόμοιες λύσεις είναι
έλεγχος των προσπαθειών εκμετάλλευσης γνωστών τρωτών σημείων που βρίσκονται σε
προστατευμένα συστήματα, αντί να αναζητούν υπογραφές εκμετάλλευσης. Αυτή η προσέγγιση επιτρέπει
κλείστε το κενό κατά την περίοδο ανακάλυψης της ευπάθειας πριν από την κυκλοφορία ενός ενημερωμένου κώδικα που το εξαλείφει.
Η βάση του NIS είναι το GAPA (Generic Application-Level Protocol Analyzer),
παροχή γρήγορης αναζήτησης δεδομένων χαμηλού επιπέδου. Εκτός από την ανάλυση υπογραφών,
Το NIS περιέχει έναν αναλυτή συμπεριφοράς (Αξιολόγηση και απόκριση ασφαλείας, SAS),
ικανό να ανιχνεύει εισβολές με βάση τη συμπεριφορά (Behavioral Intrusion
Ανίχνευση).

Η δυνατότητα παροχής ασφαλούς πρόσβασης δεν έχει εξαφανιστεί
στους πόρους του Διαδικτύου και τον έλεγχο της κυκλοφορίας (Προστασία Πελατών Web). Εδώ
Σημειώνουμε την εμφάνιση του πρωτοκόλλου SSTP (Secure Socket Tunneling Protocol,
Διαβάστε περισσότερα σχετικά με αυτό στο άρθρο " "), η υποστήριξη για το οποίο εφαρμόστηκε για πρώτη φορά στα Vista
SP1 και Win2k8.

Το TMG ελέγχει τα HTTP και HTTPS (κάτι που δεν ίσχυε προηγουμένως, αλλά το TMG
λειτουργεί ως ενδιάμεσος) κυκλοφορία για την παρουσία κακόβουλου λογισμικού, χρησιμοποιώντας το ίδιο
τους ίδιους μηχανισμούς προστασίας με το Forefront Client Security και το Windows Defender.
Ο διαχειριστής μπορεί να καθορίσει κόμβους για τους οποίους δεν πρέπει να εκτελείται σάρωση,
το μέγιστο μέγεθος του ληφθέντος αρχείου, εάν ξεπεραστεί, η λήψη θα είναι
αποκλεισμένοι, επιτρεπόμενοι τύποι αρχείων. Ένα άλλο νέο στοιχείο σε αυτήν την ενότητα είναι
Δυνατότητα φιλτραρίσματος URL, η οποία καθιστά δυνατό τον έλεγχο της πρόσβασης σε
συγκεκριμένοι πόροι Ιστού βασισμένοι σε 80 κατηγορίες. Λίστα πιθανών
κατηγορίες και η σύνθεσή τους ενημερώνεται δυναμικά με συνδρομή.

Το TMG διαθέτει ενσωματωμένο διακομιστή μεσολάβησης SMTP που παρέχει λειτουργίες προστασίας έναντι
ιοί, ανεπιθύμητα μηνύματα και άλλες απειλές που διανέμονται μέσω e-mail. Επιπλέον, ταχυδρομική
Η κίνηση μπορεί να σαρωθεί από έως και 5 προγράμματα, τις περισσότερες από τις λειτουργίες φιλτραρίσματος
υλοποιείται μέσω ενσωμάτωσης με τον Exchange Server 2007 Edge. Στις πολιτικές (E-Mail
πολιτική) ο διαχειριστής μπορεί να ορίσει επεκτάσεις, πρότυπα ονομάτων, τύπους MIME
αρχεία που θα αποκλειστούν κατά τη μεταφορά. Το TMG μπορεί επίσης να δει
μηνύματα για την παρουσία ορισμένων φράσεων σε εισερχόμενα και εξερχόμενα μηνύματα, στη συνέχεια
Με βάση τις πολιτικές, τέτοιες επιστολές μπορούν να διαγραφούν με μια ειδοποίηση που αποστέλλεται
διαχειριστής.

Το TMG υποστηρίζει Win2k8R2, μπορεί να ενσωματωθεί με το Exchange 2007
SP1 ή το επερχόμενο Exchange 2010. Οι πρώτες εκδόσεις του TMG δεν μπόρεσαν να αναπτυχθούν στο
ομάδα εργασίας(μόνο σε περιβάλλον τομέα), γεγονός που μείωσε το εύρος εφαρμογής
προϊόν. Τώρα υπάρχει μια τέτοια ευκαιρία, αν και σε αυτή την περίπτωση θα είναι απαραίτητη
αφιερώστε λίγο χρόνο σε αποτελεσματική εγκατάστασητοπική βάση δεδομένων SAM (Ασφάλεια
Υπεύθυνος Λογαριασμών). Στη λειτουργία ομάδας εργασίας, ο έλεγχος ταυτότητας είναι δυνατός χρησιμοποιώντας
Διακομιστής RADIUS ή SecurID.

Επιτρέψτε μου να αναφέρω μερικά σημαντικά σημεία σχετικά με το IPv6
Πράγματα που πρέπει να λάβετε υπόψη κατά την ανάπτυξη του TMG:

    Όλη η κίνηση IPv6 θα αποκλειστεί.

    Πρωτόκολλο ISATAP (Intra-Site Automatic Tunnel Addressing).
    Πρωτόκολλο) και η διεπαφή 6to4, που ενσωματώνει πακέτα IPv6 στο IPv4, θα
    άτομα με ειδικές ανάγκες;

    κατά την επανεκκίνηση, μόνο η εγγραφή DNS "A" θα ενημερωθεί για
    διακομιστή, αλλά όχι "AAAA"?

    Οι κρυφές μνήμες DNS, ARP και Neighborhood Discovery (IPv6) θα διαγραφούν
    έκδοση ARP).

Ναι, το TMG δεν υποστηρίζει πλήρως το πρωτόκολλο IPv6, αλλά λειτουργεί
ξέρει πώς να τον αντιμετωπίσει. Είναι επίσης δυνατή η ανάπτυξη του DirectAccess (το οποίο, παρεμπιπτόντως, είναι συνδεδεμένο
σε IPv6/IPsec) και TMG στο ίδιο σύστημα. Αν και αυτό θα απαιτήσει χορό με ντέφι, έτσι
πώς όταν εγκαθίσταται ο ρόλος DirectAccess, ορισμένοι κύριοι του TMG αρνούνται
λειτουργούν επειδή δεν μπορούν να καθορίσουν τις ρυθμίσεις δικτύου.

Το TMG διατίθεται σε δύο εκδόσεις: Enterprise και Standard Edition,
αν και μια τέτοια διαίρεση δεν σχεδιαζόταν αρχικά. Κύρια πλεονεκτήματα
Επιχείρηση πριν από το πρότυπο δύο. Αυτό καταργεί το όριο στον αριθμό των CPU (στο Standard
έως 4) και εργάζονται σε μια συστοιχία TMG που διαχειρίζεται ο διακομιστής διαχείρισης επιχειρήσεων (Διακομιστής
διαχείριση επιχειρήσεων) με την υποστήριξη της «Stirling». Ρυθμίσεις σε αυτήν την περίπτωση
αποθηκεύεται κεντρικά στον διακομιστή αποθήκευσης διαμόρφωσης. Προς την
για να αναβαθμίσετε το Standard σε Enterprise, πρέπει να εγκαταστήσετε μια νέα άδεια χρήσης
κλειδί: Κονσόλα διαχείρισης Forefront TMG - Κόμβος συστήματος - επιλέξτε τον διακομιστή και εισέλθετε
Στο μενού περιβάλλοντος Ιδιότητες - Αναβάθμιση σε έκδοση Enterprise, εισαγάγετε ένα νέο κλειδί.

Θα πρέπει επίσης να σημειωθεί ότι υπάρχει μια ελαφρώς απογυμνωμένη έκδοση
Forefront TMG Medium Business Edition (MBE) για Essential Business Server (ESB).
Αυτή η λύση έχει σχεδιαστεί για να προστατεύει δίκτυα μικρού και μεσαίου μεγέθους (έως 300
σταθμοί εργασίας). Λείπει το Σύστημα Επιθεώρησης Δικτύου, δεν εφαρμόζεται
δεν παρέχεται η δυνατότητα σάρωσης της προστατευμένης κυκλοφορίας HTTPS και της προστασίας e-mail
χρησιμοποιώντας εξισορρόπηση φορτίου και δημιουργία συστάδες αποτυχίας, δεν είναι
ενσωματώνεται με προϊόντα της οικογένειας Stirling. Το TMG MBE είναι διαθέσιμο ως μέρος του
ESB και ως αυτόνομη λύση. Μπορεί να εγκατασταθεί σε 32-bit
Σύστημα.

Εγκατάσταση Forefront TMG

Για εγκατάσταση Forefront TMGθα χρειαστείτε διακομιστή με CPU x64
(Δεν υποστηρίζονται CPU 32-bit) και 2 GB μνήμης RAM σε λειτουργία
x64 εκδόσεις Win2k8/2k8R2, καθώς και 2,5 GB χώρου στο σκληρό δίσκο (το διαμέρισμα πρέπει να είναι
μορφοποιημένο σε NTFS). Μεταξύ των απαιτήσεων υπάρχει επίσης Microsoft SQLΔιακομιστής 2005
Express Edition (MSEE), αλλά θα εγκατασταθεί αυτόματα, οπότε δεν χρειάζεται
κατεβάστε το ξεχωριστά.

Υπάρχουν πολλές επιλογές για τη χρήση της πύλης TMG. Αυτός μπορεί
που στέκεται στα όρια της ζώνης είναι κλασική έκδοσηόταν στη μία πλευρά
το Διαδίκτυο είναι συνδεδεμένο, από την άλλη - το εσωτερικό δίκτυο (απαιτεί δύο δίκτυα
προσαρμογείς). Μια ανάπτυξη αυτής της επιλογής είναι η έξοδος του DMZ σε ένα ξεχωριστό δίκτυο
διεπαφή. Η τεκμηρίωση περιγράφει επίσης την επιλογή Back Firewall όταν ενεργεί το TMG
ως δεύτερο τείχος προστασίας που βρίσκεται πίσω από μια λύση υλικού (για παράδειγμα, μια πύλη με
λειτουργίες φιλτραρίσματος). Και τέλος, είναι δυνατή η εργασία σε διακομιστή με ένα δίκτυο
διεπαφή. Σε αυτήν την περίπτωση, το TMG θα λειτουργήσει απλώς ως προσωρινή αποθήκευση
διακομιστής μεσολάβησης με δυνατότητες ελέγχου ταυτότητας χρήστη στο Active
Φιλτράρισμα καταλόγου, URL και αποκλεισμός περιεχομένου. Λαμβάνοντας υπόψη ότι η Τ.Μ.Γ.
είναι εγκατεστημένο στην είσοδο δικτύου, είναι λογικό ο διακομιστής να μην είναι
ελεγκτής τομέα. Εάν εντοπιστεί ένας ρόλος κατά την ανάπτυξη στον διακομιστή
"Υπηρεσίες τομέα Active Directory" (ακόμη και χωρίς να εκτελείται το dcpromo στη συνέχεια),
η εγκατάσταση θα σταματήσει χωρίς εξήγηση. Τώρα ας δούμε τη διαδικασία εγκατάστασης
Forefront TMG σε Win2k8R2.

Εκκινούμε το πακέτο εγκατάστασης που έχει ληφθεί από τον ιστότοπο της Microsoft και
Κάντε κλικ στο στοιχείο "Εργαλείο προετοιμασίας εγκατάστασης". Ακολουθώντας τις προτροπές αυτού
εργαλείο, εγκαταστήστε όλους τους ρόλους και τα εξαρτήματα που είναι απαραίτητα για
Το Forefront TMG λειτουργεί. Στο δεύτερο βήμα "Τύπος εγκατάστασης" πρέπει να αποφασίσετε
επιλογή εγκατάστασης. Από προεπιλογή, προτείνεται το "Install Forefront Threat".
Υπηρεσίες Management Gateway», το οποίο θα εγκαταστήσει το ίδιο το TMG και
κονσόλα διαχείρισης. Άλλες επιλογές σάς επιτρέπουν να εγκαταστήσετε μόνο την κονσόλα
Forefront TMG Management ή TMG Array Management Console. Με
Μετά την ολοκλήρωση της εργασίας "Εργαλείο προετοιμασίας", θα εμφανιστούν οι ακόλουθοι ρόλοι στο σύστημα: "Πολιτική δικτύου και
Access Services", "Web Server (IIS)", component .Net Framework 3.5 και MSEE.
μην καταργήσετε την επιλογή του πλαισίου ελέγχου "Εκκίνηση Microsoft Forefront TMG Setup" στο τελευταίο βήμα,
Όταν ολοκληρωθεί το "Εργαλείο προετοιμασίας εγκατάστασης", θα εκκινηθεί ο Οδηγός εγκατάστασης TMG.
Δεν είναι κάτι περίπλοκο - επιβεβαιώνουμε την άδεια, εισάγουμε
όνομα οργανισμού και σειριακός αριθμός και, στη συνέχεια, ρυθμίσεις εσωτερικού δικτύου. ΣΕ
Στην τελευταία περίπτωση, μπορείτε να επιλέξετε τον προσαρμογέα δικτύου, να εισαγάγετε τη διεύθυνση δικτύου ή την περιοχή
διευθύνσεις IP. Αφού ολοκληρώσετε αυτό το στάδιο, είναι καλύτερο να κάνετε επανεκκίνηση του διακομιστή.

Ρυθμίσεις TMG

Μετά την εγκατάσταση του TMG, θα βρούμε την κονσόλα διαχείρισης στο μενού
Forefront TMG Management και Forefront TMG Performance Monitor
Παρακολούθηση απόδοσης". Από προεπιλογή, η κονσόλα συνδέεται στον τοπικό διακομιστή, αλλά
Είναι απίθανο ο διαχειριστής να εργάζεται από την αίθουσα διακομιστή. Για σύνδεση σε τηλεχειριστήριο
διακομιστή με εγκατεστημένο το TMG, επιλέξτε το στοιχείο "Σύνδεση" στο μενού περιβάλλοντος και,
ακολουθώντας τις οδηγίες στον "Οδηγό σύνδεσης διακομιστή αποθήκευσης διαμόρφωσης", σημειώστε
τοπικό σύστημα, ξεχωριστός διακομιστής ή σύνδεση σε συστοιχία TMG.
Υπάρχουν περισσότερες από αρκετές ρυθμίσεις στην κονσόλα. Αποθηκεύτηκε από μια καλά μελετημένη διεπαφή,
το οποίο έχει επανασχεδιαστεί σημαντικά για να βελτιώσει τη χρηστικότητα. Όλες οι ρυθμίσεις
ομαδοποιούνται σε 12 μενού, σε καθένα από τα οποία ορίζονται συγκεκριμένες πολιτικές:
Τείχος προστασίας, WebAccess, E-mail, IPS και ούτω καθεξής. Ορισμένα στοιχεία επιτρέπουν
πρόσβαση σε λειτουργίες παρακολούθησης, αναφοράς και ενημέρωσης. Και σε ποιο σημείο όχι
Ελάτε, ένας μάγος βήμα προς βήμα θα σας συναντήσει παντού.

Όταν ξεκινάτε την κονσόλα για πρώτη φορά, ενεργοποιείται το "Getting Started".
Wizard", το οποίο ουσιαστικά ανοίγει την πρόσβαση σε τρεις άλλους οδηγούς: Network,
Διαμόρφωση και ανάπτυξη συστήματος. Ορισμένες ρυθμίσεις θα ληφθούν από το σύστημα
ρυθμίσεις, εάν χρειάζεται, τις διευκρινίζουμε.
Στην αρχή του Οδηγού ρυθμίσεων δικτύου, θα σας ζητηθεί να επιλέξετε ένα πρότυπο
δίκτυο (Network Template), που αντιστοιχεί στην τρέχουσα εφαρμογή του TMG: Edge firewall,
3-Περίμετρος ποδιών, Πίσω τείχος προστασίας, Μονός προσαρμογέας δικτύου. Κατά την επιλογή του καθενός
Το στοιχείο θα εμφανίζει το διάγραμμα δικτύου, επομένως η αντιστοίχιση προτύπων είναι εύκολη
καταλάβω. Από προεπιλογή, προτείνεται το "Edge Firewall", το οποίο αντιστοιχεί σε
"τυπικός" τρόπος χρήσης, όταν είναι συνδεδεμένος στη μία πλευρά
το Διαδίκτυο, από την άλλη - ένα τοπικό δίκτυο. Το αφήνουμε, υποδεικνύουμε LAN και WAN
διεπαφές. Οι ρυθμίσεις συστήματος αποτελούνται από τον καθορισμό της ιδιότητας μέλους τομέα
ή ομάδα εργασίας, καθώς και την εισαγωγή του επιθέματος DNS. Στις περισσότερες περιπτώσεις εδώ
πρέπει να τα αφήσεις όλα όπως είναι. Ο Οδηγός ανάπτυξης καθορίζει τα "Windows
Ενημέρωση". Στη συνέχεια, ενεργοποιούμε τις άδειες προστασίας NIS, Web και Email και στο επόμενο
στάδια του οδηγού, ορίζουμε τη σειρά ενημέρωσης των αντίστοιχων υπογραφών.
Εγκατεστημένο σε τελευταίο παράθυροΤο πλαίσιο ελέγχου "Εκτέλεση Οδηγού πρόσβασης στο Web" σάς επιτρέπει να το κάνετε αμέσως
εκτελέστε τον οδηγό ρύθμισης πρόσβασης στον ιστό, αλλά δεν χρειάζεται να βιαστείτε με αυτό ακόμα.

Επιλέξτε τον διακομιστή σας από το μενού της κονσόλας. Στο μεσαίο παράθυρο θα εμφανιστεί
το παράθυρο "Ρόλοι διαμόρφωσης", περιέχει συνδέσμους προς 5 εργασίες: πρόσβαση σε εσωτερικές
χρήστες σε ιστότοπους (Πολιτική πρόσβασης στον Ιστό), πολιτικές ηλεκτρονικού ταχυδρομείου, ρυθμίσεις NIS,
δημοσίευση εσωτερικών πόρων για παροχή πρόσβασης "από έξω", ενεργοποίηση και
ρύθμιση πρόσβασης VPN. Φυσικά, δεν είναι όλα αυτά καθήκοντα για να διασφαλιστεί η πλήρης
προστασίας και λειτουργίας των υπηρεσιών, ο διαχειριστής έχει ήδη συντάξει μια συγκεκριμένη λίστα για κάθε δίκτυο
εγώ ο ίδιος. Μετά την εκτέλεση του "Started Wizard" θα ενεργοποιηθεί και θα εγκατασταθεί το NIS
κανόνες αποκλεισμού στο Τείχος προστασίας και την πρόσβαση στο Web. Αντίστοιχα, συνδεθείτε στο διαδίκτυο
Δεν θα είναι δυνατή η λήψη και αποστολή αλληλογραφίας, καθώς και η πρόσβαση στο εσωτερικό
πόρους "από έξω", έτσι περνάμε διαδοχικά από κάθε βήμα και διαμορφώνουμε
πολιτική πρόσβασης.

Ρύθμιση πολιτικών πρόσβασης στον ιστό και χρήσης email

Για παράδειγμα, ας δούμε τις ρυθμίσεις για την παροχή πρόσβασης στο web και
εργασία ηλεκτρονικού ταχυδρομείου. Μεταβείτε στην καρτέλα "Πολιτική πρόσβασης στον Ιστό" και επιλέξτε
πεδίο "Εργασία" σύνδεσμος "Διαμόρφωση πολιτικής πρόσβασης στο Web", θα ξεκινήσει ο οδηγός ρυθμίσεων.
Αποφασίζουμε εάν θα χρησιμοποιήσουμε αποκλεισμό πόρων ιστού ανά κατηγορία. Αν
επιλέξτε "Ναι, δημιουργήστε έναν αποκλεισμό κανόνα...", στη συνέχεια στο επόμενο βήμα πρέπει να καθορίσετε
κατηγορίες πόρων που θα αποκλειστούν. Υπάρχουν ήδη μια ντουζίνα στη λίστα
κατηγορίες, για να προσθέσετε μια νέα κατηγορία στη λίστα, κάντε κλικ στο κουμπί "Προσθήκη" και
Σημειώστε όλα όσα χρειάζεστε στο παράθυρο που εμφανίζεται. Το επόμενο βήμα του οδηγού είναι "Κακόβουλο λογισμικό"
Inspection Setting", εδώ επιλέγουμε αν θα ελέγξουμε την κυκλοφορία HTTP για την παρουσία
κακόβουλος κώδικας. Το πρόσθετο πλαίσιο ελέγχου "Αποκλεισμός κρυπτογραφημένων αρχείων" επιτρέπει
αποκλεισμός κρυπτογραφημένων αρχείων. Στη συνέχεια, διαμορφώνουμε τον έλεγχο της κυκλοφορίας HTTPS.
Υπάρχουν τέσσερις πιθανές επιλογές εδώ:

    έλεγχος;

    Μην ελέγχετε ή επιτρέπετε την κυκλοφορία.

    μην ελέγχετε την κίνηση, ελέγξτε το πιστοποιητικό και εάν υπάρχει ασυμφωνία
    ΟΙΚΟΔΟΜΙΚΟ ΤΕΤΡΑΓΩΝΟ;

    αποκλεισμός HTTPS.

Εάν επιλεγεί η πρώτη επιλογή, ο οδηγός θα σας ζητήσει να εισαγάγετε ένα πιστοποιητικό,
που πρέπει πρώτα να δημιουργηθεί (για λεπτομέρειες, βλ
άρθρο "Επιπεδωμένο VPN"). Ακολουθεί η ρύθμιση της προσωρινής αποθήκευσης. Επιλέξτε το πλαίσιο ελέγχου "Ενεργοποίηση".
Web caching" και κάνοντας κλικ στο "Cache Drives", καθορίστε τη μονάδα δίσκου και εισαγάγετε το μέγιστο
μέγεθος προσωρινής μνήμης (προεπιλογή 0, δηλαδή απεριόριστο). Αφού κάνετε κλικ στο κουμπί "Τέλος".
Θα δημιουργηθούν νέες ρυθμίσεις, για να τεθούν σε ισχύ, κάντε κλικ στο κουμπί
"Εφαρμογή" στο επάνω μέρος του παραθύρου. Οι χρήστες Intranet μπορούν πλέον να προβάλλουν
πληροφορίες για πόρους Ιστού.

Χρησιμοποιώντας τους συνδέσμους στην καρτέλα "Εργασία", μπορείτε να αλλάξετε τις ρυθμίσεις χωρίς
επανεκκινήστε τον οδηγό. Για να αλλάξετε έναν μεμονωμένο κανόνα, κάντε διπλό κλικ
και, μετακινώντας τις καρτέλες ιδιοτήτων, απενεργοποιήστε/ενεργοποιήστε τον κανόνα, αλλάξτε
Από/Προς, υποδείξτε το πρωτόκολλο, το χρονοδιάγραμμα, τον τύπο περιεχομένου. Κατάσταση ατόμου
Μπορείτε να δείτε και να αλλάξετε στοιχεία στο πεδίο "Ρύθμιση πρόσβασης στο Web".

Για να ρυθμίσετε τις παραμέτρους της εργασίας με το E-mail, επιλέξτε «Πολιτική E-Mail» στο μενού.
Εδώ προχωράμε παρόμοια με το προηγούμενο σημείο. Κάντε κλικ στο "Διαμόρφωση e-mail"
Πολιτική". Όταν ξεκινήσει ο οδηγός, θα σας ζητήσει πρώτα να καθορίσετε τη διεύθυνση IP του εσωτερικού
διακομιστή αλληλογραφίας και εισαγάγετε μια λίστα επιτρεπόμενων τομέων. Σημειώνουμε τα δίκτυα στα οποία
Τα αιτήματα αλληλογραφίας θα ακούγονται, προσδιορίστε το FQDN (Πλήρως Πιστοποιημένο Όνομα Τομέα),
χρησιμοποιείται για την επικοινωνία με τον διακομιστή όταν ανταποκρίνεται σε αιτήματα HELO/EHLO. Προκαθορισμένο
Η κρυπτογράφηση κυκλοφορίας TLS (Transport Layer Security) είναι απενεργοποιημένη, για να την ενεργοποιήσετε
επιλέξτε το πλαίσιο ελέγχου "Ενεργοποίηση κρυπτογράφησης TLS". Στο τελευταίο βήμα, ρύθμιση
αντίστοιχα πλαίσια ελέγχου, ενεργοποιήστε τις λειτουργίες antispam και antivirus scanning
κίνηση αλληλογραφίας (αν, φυσικά, υποτίθεται ότι θα χρησιμοποιηθούν). Κάντε κλικ
«Τέλος» και εφαρμόστε τις ρυθμίσεις κάνοντας κλικ στο «Εφαρμογή». Κανόνες που δημιουργήθηκαν στο
Τα αποτελέσματα του οδηγού θα εμφανιστούν στο παράθυρο της κονσόλας. Θέσπιση κανόνων
το antispam και το antivirus εκτελούνται στα "Φιλτράρισμα ανεπιθύμητων μηνυμάτων" και "Ιός και
Φιλτράρισμα Περιεχομένου» αντίστοιχα.

συμπέρασμα

Όπως μπορείτε να δείτε, υπάρχουν πολλές καινοτομίες στην οικογένεια Forefront,
και το κυριότερο είναι η στενή ενοποίηση των προϊόντων, που θα επιτρέψει μια τάξη μεγέθους
αύξηση της αποτελεσματικότητας χρήσης διάφορες λύσειςκαι προσθέστε ευκολία
εργασία διαχειριστή. Για παράδειγμα Forefront TMGείναι ξεκάθαρα ορατό ότι μόνο ένα
Η αλλαγή του ονόματος δεν έλυσε το πρόβλημα. Έχει πάρα πολλές λειτουργίες που
έχουν ζητηθεί από τους διαχειριστές περισσότερες από μία φορές.

TMG εναντίον UAG

Το Forefront TMG και το UAG αποτελούν μέρος του Forefront Edge Security και
Access, που παρέχει λύσεις περιμετρικής ασφάλειας και πρόσβασης
στο εσωτερικό δίκτυο, αλλά ο σκοπός τους είναι τελείως διαφορετικός. Το TMG έχει το κύριο πράγμα
σκοπός είναι η προστασία της εσωτερικής περιμέτρου, η UAG είναι να διασφαλίσει την ασφάλεια
πρόσβαση σε υπηρεσίες "από έξω". Αν και το TMG εφαρμόζει την ικανότητα οργάνωσης
πρόσβαση σε εσωτερικούς πόρους μέσω VPN και δημοσίευση εσωτερικών υπηρεσιών
(Secure Web Publishing), αλλά η UAG από αυτή την άποψη παρέχει εξαιρετικές ευκαιρίες και
ευκαμψία.

ΠΛΗΡΟΦΟΡΙΕΣ

Το Forefront "Stirling" είναι μια ολοκληρωμένη λύση που έχει σχεδιαστεί για
ολοκληρωμένη προστασία και κεντρική διαχείριση των ρυθμίσεων ασφαλείας
εταιρικά δίκτυα, διακομιστές και σταθμούς εργασίας.

Το σύστημα αναφοράς Forefront "Stirling" βασίζεται στο MS SQL
Server 2008 Reporting Services, η μηχανή αναφοράς είναι σε θέση να ικανοποιήσει αιτήματα
οι περισσότεροι διαχειριστές.

Πριν εγκαταστήσετε το Forefront TMG, πρέπει να ενημερώσετε το σύστημά σας
με βοήθεια Ενημερωμένη έκδοση για Windows: Πίνακας Ελέγχου - Σύστημα και Ασφάλεια.

Antivirus, ενημερώσεις antispam, υπογραφές NIS, Φιλτράρισμα URL
διαθέσιμο μέσω συνδρομής επί πληρωμή.

Σελίδα TechNet στο Forefront -

technet.microsoft.com/en-us/library/cc901531.aspx

ΠΡΟΕΙΔΟΠΟΙΗΣΗ

Το Forefront TMG δεν μπορεί να εγκατασταθεί σε διακομιστή που λειτουργεί
λειτουργίες ελεγκτή τομέα.

Μετά την εγκατάσταση του Forefront TMG, όλες οι συνδέσεις δικτύου
είναι μπλοκαρισμένα.



Προτείνουμε άλλα άρθρα
Stoloto, Russian Lotto – απάτη;
Stoloto, Russian Lotto – απάτη;
Πώς λειτουργεί η εξόρυξη κρυπτονομισμάτων Διαδικασία εξόρυξης κρυπτονομισμάτων
Πώς λειτουργεί η εξόρυξη κρυπτονομισμάτων Διαδικασία εξόρυξης κρυπτονομισμάτων
Σύνοψη ενός μαθήματος στο νηπιαγωγείο
Σύνοψη ενός μαθήματος στο νηπιαγωγείο "Ο προγραμματιστής είναι ένας μεγάλος μάγος"