Εγκατάσταση του Microsoft Forefront Threat Management Gateway σε εικονικό περιβάλλον Microsoft Hyper-V

Αυτό το υλικό είναι μια πρακτική εφαρμογή δύο συγκεκριμένων τεχνολογιών: Microsoft Hyper-V και Microsoft Απειλή στο προσκήνιοΔιαχείριση Πύλης που προσφέρεται από τη Microsoft.

Αυτό το υλικό είναι μια πρακτική εφαρμογή δύο συγκεκριμένων τεχνολογιών: Microsoft Hyper-V και Microsoft Forefront Threat Management Gateway, που προσφέρονται από τη Microsoft.

Τεχνικά δεδομένα

Μέσα στο έργο υπάρχει ΕΝΑ φυσικός διακομιστήςμε δύο κάρτες δικτύου, που υποστηρίζουν τεχνολογία εικονικοποίησης. Στο πλαίσιο αυτού του άρθρου, είναι απαραίτητο να λυθεί το πρόβλημα της ανάπτυξης μιας αποστρατιωτικοποιημένης ζώνης (DMZ) σε ένα εικονικό δίκτυο.
Πριν εγκαταστήσετε όλα τα προϊόντα λογισμικού, πρέπει να διαβάσετε τους κανόνες αδειοδότησης, οι οποίοι θα σας επιτρέψουν να υπολογίσετε το κόστος κατοχής του λογισμικού. Η Άδεια Χρήσης της Microsoft ενημερώνεται τακτικά και είναι πάντα διαθέσιμη στον ιστότοπο της Microsoft.

Στάδιο 1. Εγκατάσταση του λειτουργικού συστήματος σε φυσικό διακομιστή.

Η Microsoft προσφέρει 2 επιλογές εικονικοποίησης:

1. Γ χρήση Υπερεπόπτη της MicrosoftΔιακομιστής Hyper-V™ 2008.
2. C χρησιμοποιώντας το ρόλο διακομιστή Hyper-V ως μέρος του Microsoft Windows 2008 R2 Server.

Ως μέρος αυτού του άρθρου, θα παρουσιάσουμε μια επιλογή που χρησιμοποιεί τον ρόλο διακομιστή Hyper-V.

Χρήση του υπερεπόπτη Microsoft Hyper-V™ Server 2008.

Η Microsoft κυκλοφόρησε ένα προϊόν που σας επιτρέπει να μετατρέψετε έναν φυσικό διακομιστή σε διακομιστή εικονικής μηχανής χωρίς να εγκαταστήσετε λειτουργικό σύστημα (στην πραγματικότητα, το λειτουργικό σύστημα είναι εγκατεστημένο, αλλά είναι εξειδικευμένο για εικονικοποίηση). Το προϊόν ονομάζεται Microsoft Hyper-V Server.

Για να το διαχειριστείτε, πρέπει να χρησιμοποιήσετε το κέλυφος Hyper-V Manager, το οποίο μπορεί να εγκατασταθεί σε λειτουργία συστήματα Windows 7 και Windows Vista, ή έχουν γνώση χρήσης του Powershell.

Ο hypervisor Microsoft Hyper-V Server 2008 παρέχει τη δυνατότητα χρήσης της τεχνολογίας εικονικοποίησης ΔΩΡΕΑΝ, αλλά απαιτεί εξειδικευμένες γνώσεις και δεξιότητες κατά τη συντήρηση και τη χρήση πρόσθετου εξοπλισμού, για παράδειγμα, οδηγοί ταινίαςή συστήματα αποθήκευσης δεδομένων.

Χρήση του ρόλου διακομιστή Hyper-V ως μέρος του διακομιστή Microsoft Windows 2008 R2.

Στο λειτουργικό σύστημα Microsoft Windows 2008 R2, υπάρχει ο ρόλος Hyper-V, ο οποίος παρέχει τη δυνατότητα δημιουργίας εικονικών μηχανών. Ταυτόχρονα, σε έναν φυσικό διακομιστή είναι δυνατή η χρήση ενός πλήρους λειτουργικού συστήματος, το οποίο θα παρέχει στους διαχειριστές την απαραίτητη ελευθερία δράσης.

Περισσότερες πληροφορίες σχετικά με την εγκατάσταση του υπερεπόπτη διακομιστή Microsoft Hyper-V™ και του ρόλου Hyper-V μπορείτε να βρείτε στον ιστότοπο www.microsoft.ru.
Στάδιο 2. Διαχείριση εικονικής υποδομής δικτύου.

Παρά το γεγονός ότι ο διακομιστής είναι φυσικός, είναι δυνατό να μην εκχωρηθούν διευθύνσεις δικτύου σε φυσικές κάρτες δικτύου, γεγονός που θα εξασφαλίσει την ασφάλεια του φυσικού διακομιστή. Ωστόσο, η έλλειψη σύνδεση δικτύουστο τοπικό δίκτυο αποκλείει την απομακρυσμένη διαχείριση του διακομιστή στον οποίο είναι εγκατεστημένος ο ρόλος Hyper-V. Συνήθως, για τη διαχείριση διακομιστή, εκχωρείται μια διεύθυνση IP πρόσβασης από το εσωτερικό δίκτυο.

Δεν συνιστάται η εκχώρηση διεύθυνσης δικτύου σε κάρτα δικτύου συνδεδεμένη στο Διαδίκτυο, καθώς δεν υπάρχουν μέσα για να διασφαλιστεί η πλήρης προστασία του φυσικού διακομιστή.

Είναι καλύτερο να διαμορφώσετε την τρέχουσα υποδομή δικτύου στον διακομιστή εικονικοποίησης. Δεδομένου ότι η θεωρούμενη υποδομή δικτύουείναι μια υποδομή με τρία πόδια (Εσωτερική - DMZ - Εξωτερική), τότε είναι απαραίτητο να δημιουργηθούν τρία δίκτυα, δύο από τα οποία θα εκχωρηθούν φυσικά σε διαφορετικούς προσαρμογείς δικτύου και το τρίτο θα είναι εικονικό - για την αποστρατιωτικοποιημένη ζώνη. Αυτό γίνεται μέσω του "Virtual Network Manager", όπως φαίνεται στην Εικόνα 1.

Στο παράθυρο "Virtual Network Manager", επιλέξτε "Create εικονικό δίκτυο" Επιλέξτε τον τύπο "Εξωτερικό" και κάντε κλικ στο "Προσθήκη". Η διαδικασία δημιουργίας δικτύου φαίνεται στο Σχ. 2.

Στο πλαίσιο της δημιουργηθείσας υποδομής, πρέπει να δημιουργήσουμε 3 τύπους δικτύων: δύο εξωτερικά δίκτυαμε σύνδεση σε διαφορετικούς προσαρμογείς (σύνδεση στο εσωτερικό δίκτυο και σύνδεση με τον πάροχο) και ένα ιδιωτικό δίκτυο εικονικών μηχανών (σύνδεση με διακομιστές DMZ). Ως αποτέλεσμα, θα έχουμε τρία δίκτυα (Εικ. 3.)

Στάδιο 3. Δημιουργία εικονικών μηχανών.

Όταν δημιουργείτε εικονικές μηχανές που βρίσκονται στην αποστρατιωτικοποιημένη ζώνη, πρέπει να καθορίσετε τον προσαρμογέα Virtual DMZ που δημιουργήθηκε. Η προεπιλεγμένη πύλη θα είναι Διακομιστής Microsoft Forefront Threat Management Gateway. Η διαμόρφωση και η χωρητικότητα των σκληρών δίσκων επιλέγονται με βάση τις εργασίες που έχουν ανατεθεί στον διακομιστή.

Για να δημιουργήσετε μια εικονική μηχανή, πρέπει να κάνετε δεξί κλικ στον διακομιστή Hyper-V και να επιλέξετε «Δημιουργία - Εικονική μηχανή». Μετά από αυτό θα ανοίξει ένα παράθυρο πρόσκλησης.

Στο παράθυρο «Καθορισμός ονόματος και τοποθεσίας», πρέπει να προσδιορίσετε το όνομα και τη θέση του αρχείου διαμόρφωσης εικονικού διακομιστή (Εικ. 4.).

Στο παράθυρο «Κατανομή μνήμης» (Εικ. 5), πρέπει να επιλέξετε το μέγεθος μνήμη τυχαίας προσπέλασης. Οι ελάχιστες απαιτήσεις για το Microsoft Forefront Threat Management Gateway είναι 2 GB μνήμης RAM.

Στο παράθυρο "Ρυθμίσεις δικτύου", επιλέξτε μια σύνδεση με το εσωτερικό δίκτυο (Εικονικό Εσωτερικό).

Στο "Σύνδεση εικονικής HDD"Πρέπει να επιλέξετε "Δημιουργία εικονικού σκληρού δίσκου." Καθορίστε το μέγεθος (για Microsoft Windows 2008 R2, τουλάχιστον 11 GB) (Εικ. 7).

Στο παράθυρο "Επιλογές εγκατάστασης", επιλέξτε "Εγκατάσταση του λειτουργικού συστήματος αργότερα" και κάντε κλικ στο "Επόμενο" (Εικ. 8).

Μετά το παράθυρο "Σύνοψη", κάντε κλικ στο "Τέλος".

Πριν ξεκινήσετε την εγκατάσταση του Windows 2008 R2 Server, πρέπει να μεταβείτε στις ρυθμίσεις της εικονικής μηχανής FOREFRONT. Κάντε δεξί κλικΚάντε κλικ στην εικονική μηχανή - Ρυθμίσεις...

Και στο παράθυρο "Ρυθμίσεις για ΜΠΡΟΣΤΑ".

Στο παράθυρο, επιλέξτε "Εγκατάσταση υλικού" - "Προσαρμογέας δικτύου" και κάντε κλικ στο "Προσθήκη". Προσθέστε τους δύο εναπομείναντες προσαρμογείς, το Virtual Internet και το Virtual DMZ. Μετά την προσθήκη, η διαμόρφωση του υπολογιστή θα μοιάζει με αυτό:

Μετά από αυτό, προχωράμε στην εγκατάσταση του Microsoft Windows 2008 R2 Server.

Στάδιο 4. Εγκατάσταση του διακομιστή Microsoft Windows 2008 R2.

Ας ξεκινήσουμε την εγκατάσταση του Windows 2008 R2 Server. Αυτό απαιτεί μια εικόνα δίσκου. Μπορείτε να το κατεβάσετε από τον ιστότοπο της Microsoft. Στον ιστότοπο www.microsoft.ru μπορείτε να βρείτε έναν σκληρό δίσκο για εικονικές μηχανές και να τον αντικαταστήσετε με αυτόν που δημιουργήσαμε νωρίτερα.

Στο "Controller 1 IDE" ορίστε το "Image file" και καθορίστε τη θέση του αρχείου εικόνας.

Ας ξεκινήσουμε την εικονική μηχανή.

Στη συνέχεια, μπορείτε να υποβάλετε την προεπιλεγμένη εγκατάσταση των Microsoft Windows 2006 R2 και Microsoft ForeFront Threat Management Gateway. Εντοπίζουμε προσαρμογείς δικτύου και εκχωρούμε διευθύνσεις IP σύμφωνα με τη διαμόρφωση του δικτύου. ΠΡΟΣΟΧΗ! Μόνο μία προεπιλεγμένη πύλη μπορεί να οριστεί σε έναν υπολογιστή. Συνήθως εκχωρείται στην προεπιλεγμένη πύλη του παρόχου.

Βήμα 5: Διαμορφώστε την πύλη διαχείρισης απειλών Microsoft Forefront.

Μετά αρχική εκτόξευσηΘα εμφανιστεί το παράθυρο Started Wizard. Μπορεί επίσης να εκκινηθεί μέσω του "Οδηγού εκκίνησης εκκίνησης".

Στις ρυθμίσεις "Επιλογή προτύπου δικτύου", επιλέξτε "Περίμετρος 3 ποδιών", που θα σας επιτρέψει να περιορίσετε και να δημιουργήσετε ένα DMZ. Κάντε κλικ στο «Επόμενο».

Στο παράθυρο "Ρύθμιση τοπικού δικτύου (LAN)", επιλέξτε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στο εσωτερικό τοπικό δίκτυο.

Στο παράθυρο "Ρύθμιση Internet", επιλέξτε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στον πάροχο.

Στο παράθυρο "Περιμετρική ρύθμιση δικτύου", προσδιορίζουμε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στους διακομιστές στο DMZ. Στη συνέχεια, πρέπει να επιλέξετε τον τύπο εμπιστοσύνης για αυτό το δίκτυο. Μπορεί να είναι είτε Δημόσιο, όταν η δρομολόγηση χωρίς χρήση NAT θα διαμορφωθεί σε διακομιστές που βρίσκονται στο DMZ, είτε Ιδιωτικό, όταν η δρομολόγηση θα διαμορφωθεί χρησιμοποιώντας NAT. Αυτή η λειτουργία καθορίζεται από το επίπεδο εμπιστοσύνης στο δίκτυο DMZ. Η ιδιωτική λειτουργία θα προστατεύσει πλήρως το δίκτυό σας από την ορατότητα από το DMZ, αλλά ενδέχεται να προκύψουν προβλήματα με τη ρύθμιση κανόνων πρόσβασης.

Αυτό το άρθρο έδειξε πώς μπορείτε να ρυθμίσετε μια περίμετρο 3 ποδιών. Δυστυχώς, δεν είναι δυνατό στο πλαίσιο αυτού του άρθρου να εμφανιστεί η πλήρης διαμόρφωση της πύλης διαχείρισης απειλών Microsoft Forefront για οργανισμούς, καθώς κάθε οργανισμός θα έχει τους δικούς του κανόνες πρόσβασης και σχέσεις μεταξύ δικτύων και χρηστών, οι οποίοι περιγράφονται στην πολιτική ασφαλείας.

Το Microsoft Forefront Threat Management Gateway (TMG) 2010 βασίζεται σε μεγάλο βαθμό σε μια ποικιλία υπηρεσιών για τη διατήρηση της ασφάλειας του δικτύου και της βέλτιστης απόδοσης. Η διαμόρφωση των διεπαφών δικτύου και ιδιαίτερα η ανάλυση ονομάτων διαδραματίζει βασικό ρόλο, ειδικά εάν το TMG έχει ρυθμιστεί ως διακομιστής μεσολάβησης προς τα εμπρός και προς τα πίσω. Στην πρακτική μου, πολλά προβλήματα με το TMG προκλήθηκαν από λανθασμένη ρύθμιση DNS. Σε αυτό το άρθρο θα ήθελα να μιλήσω για τη ρύθμιση διεπαφών δικτύου και απαιτήσεων διακομιστή DNS για σωστή ανάλυση ονόματος στο TMG.

Απαιτήσεις για διακομιστές DNS

Όταν επιλέγετε έναν διακομιστή DNS στο TMG, υπάρχουν πολλά πράγματα που πρέπει να λάβετε υπόψη: σημαντικούς παράγοντες. Για ένα πολύ σπάνιο εκτός από το TMGπρέπει να ρυθμιστεί ώστε να χρησιμοποιεί μόνο εσωτερικούς διακομιστές DNS που μπορούν να επιλύσουν εσωτερικό χώρο διευθύνσεων καθώς και εξωτερικές διευθύνσεις. Για να διασφαλιστεί η απρόσκοπτη λειτουργία, αυτοί οι διακομιστές DNS πρέπει να συνδέονται μέσω γρήγορων συνδέσεων και να διαθέτουν επαρκείς πόρους για την επιτυχή επεξεργασία όλων των εισερχόμενων αιτημάτων επίλυσης ονόματος. Αυτό εξαρτάται εξ ολοκλήρου από το πόσοι χρήστες είναι συνδεδεμένοι στο TMG και πώς συνδέονται. Το Web Proxy Client και το TMG Client εξαρτώνται πλήρως από το TMG για την ανάλυση ονομάτων, αυξάνοντας το φόρτο στους διακομιστές DNS. Οι πελάτες SecureNAT εκτελούν την ανάλυση μόνοι τους. Εάν οι διακομιστές DNS είναι πολύ συμφορημένοι ή μεταξύ TMG και Προβλήματα DNSμε τα κανάλια επικοινωνίας, μπορεί να αντιμετωπίσετε μια μεγάλη ποικιλία προβλημάτων με το TMG. Για παράδειγμα, αυτό θα μπορούσε να έχει ως αποτέλεσμα αργή φόρτωση σελίδων ή αίτημα ελέγχου ταυτότητας για χρήστες που θα πρέπει να πιστοποιούνται με διαφάνεια χρησιμοποιώντας NTLM ή Kerberos.

Διαμόρφωση διεπαφής δικτύου

Η ρύθμιση μιας διεπαφής δικτύου στο TMG με μία διεπαφή δικτύου είναι πολύ απλή: η διεύθυνση IP, η μάσκα, η πύλη και ο διακομιστής DNS είναι όλα ρυθμισμένα στην τοπική διεπαφή. Η κατάσταση γίνεται κάπως πιο περίπλοκη όταν υπάρχουν πολλές διεπαφές δικτύου. Εάν το TMG έχει πολλαπλές διεπαφές δικτύου, τότε κάθε διεπαφή πρέπει να έχει τη δική της μοναδική μάσκα IP και υποδικτύου. Ωστόσο, ανεξάρτητα από το πόσες διεπαφές δικτύου έχετε, μπορείτε να έχετε μόνο μία προεπιλεγμένη πύλη και στην εξωτερική διεπαφή. Ποτέ μην διαμορφώνετε μια προεπιλεγμένη πύλη σε μια διεπαφή διαφορετική από την εξωτερική διεπαφή (εκτός εάν ρυθμίζετε τον πλεονασμό ISP, στην οποία και οι δύο εξωτερικές διεπαφές έχουν τις δικές τους προεπιλεγμένες πύλες). Εάν πρέπει να αποκτήσετε πρόσβαση σε οποιοδήποτε απομακρυσμένο υποδίκτυο εντός του δικτύου ή στο περιμετρικό δίκτυο, χρησιμοποιήστε μόνιμες στατικές διαδρομές.

Η σειρά εκχώρησης διεπαφών δικτύου

Για TMG με πολλές διεπαφές δικτύου, υπάρχει μια ακόμη ρύθμιση που πολύ συχνά και αδικαιολόγητα ξεχνιέται. Αυτή είναι η σειρά με την οποία συνδέονται οι διεπαφές δικτύου. Ανοιξε Κέντρο δικτύου και κοινής χρήσης, κάντε κλικ στον σύνδεσμο Αλλάξτε τις ρυθμίσεις του προσαρμογέα. Επόμενο κλικ στο ΠροχωρημένοςΚαι Προηγμένες ρυθμίσεις…

Επιλέξτε μια καρτέλα Προσαρμογείς και δεσμίδεςκαι βεβαιωθείτε ότι η εσωτερική διεπαφή δικτύου είναι πρώτη στη λίστα. Εάν δεν συμβαίνει αυτό, επιλέξτε το και χρησιμοποιήστε τα βέλη στα δεξιά για να το μετακινήσετε στην πρώτη θέση.

Ρυθμίσεις DNS

Οι διακομιστές DNS θα πρέπει να καθορίζονται μόνο στην εσωτερική διεπαφή. Μην διαμορφώνετε το DNS σε καμία άλλη διεπαφή. Ένα πολύ συνηθισμένο λάθος είναι όταν οι διαχειριστές καθορίζουν τις διευθύνσεις των διακομιστών DNS του παρόχου στην εξωτερική διεπαφή εκτός από τους εσωτερικούς διακομιστές DNS που καθορίζονται στην εσωτερική διεπαφή.

Εξαίρεση στον κανόνα

Υπάρχει μόνο ένας τύπος ανάπτυξης TMG που επιτρέπει τον καθορισμό διακομιστών DNS στην εξωτερική διεπαφή. Σε αυτό το σενάριο, το TMG δεν είναι μέλος τομέα και δεν σχετίζεται με εσωτερικούς πόρους.

Εσωτερικοί ριζικοί διακομιστές DNS

Σε ορισμένες περιπτώσεις, οι εσωτερικοί διακομιστές DNS δεν μπορούν να επιλύσουν εξωτερικές διευθύνσεις. Αυτό μπορεί να συμβαίνει, για παράδειγμα, όταν οι εσωτερικοί διακομιστές DNS έχουν ρυθμιστεί ως διακομιστές ρίζας για τον εσωτερικό χώρο ονομάτων σας. Ωστόσο, οι απαιτήσεις της TMG παραμένουν αμετάβλητες. Η λειτουργία του απαιτεί τη δυνατότητα επίλυσης τόσο εσωτερικών όσο και εξωτερικών διευθύνσεων.

Σε αυτό το σενάριο, πρέπει να ρυθμίσετε τις παραμέτρους του διακομιστή DNS για το TMG ώστε να πληροί αυτές τις απαιτήσεις. Ο καλύτερος τρόποςΑυτό γίνεται με τη ρύθμιση ενός αποκλειστικού διακομιστή DNS προσωρινής αποθήκευσης με διαμορφωμένη προώθηση.

Χρήσιμες πληροφορίες

sivpk.ru - ένας ιστότοπος για την επιλογή και τη συναρμολόγηση ενός υπολογιστή. Εδώ μπορείτε να διαβάσετε για την επιλογή και τη σύνθεση ενός υπολογιστή παιχνιδιών, πολυμέσων και γραφείου.

Ένας ενδιαφέρον ιστότοπος που έχει μια λεπτομερή ανασκόπηση της φιλοξενίας και άλλων ενδιαφέροντα άρθρασχετικά με την επιλογή φιλοξενίας, εργαλεία webmaster και πολλά άλλα.

Και η Win7 Microsoft Corporation ανακοίνωσε μια σειρά από λύσεις που στοχεύουν
για την ενίσχυση της ασφάλειας των δικτύων και των διακομιστών. Αντί για τα ήδη γνωστά ονόματα και
τεχνολογίες, εντελώς νέα ονόματα εμφανίστηκαν στη σκηνή της πληροφορικής. Στο άρθρο
Ας γνωρίσουμε τον σκοπό των προϊόντων της οικογένειας Forefront «Stirling» και αναλυτικά
ας ταξινομήσουμε το πακέτο Forefront TMG, που ήταν ο διάδοχος του ISA Server 2006.

Forefront Ολοκληρωμένο Σύστημα Ασφαλείας «Stirling».

Σχεδόν 9 χρόνια δίκτυα υπολογιστώνπολλές οργανώσεις προστατεύονταν συνεχώς από τον ISA
Διακομιστής (Microsoft διαδικτυακή ασφάλειακαι Acceleration Server). Τα θεμέλια τέθηκαν
Ακόμη και στην πρώτη έκδοση, λίγα έχουν αλλάξει στην τρίτη έκδοση του ISA Server 2006:
φιλτράρισμα κίνησης σε πολλά επίπεδα, υποστήριξη VPN, εργασία με το Active
Κατάλογος, ανάλυση επισκέψεων σε εξωτερικούς πόρους, IDS/IPS και ούτω καθεξής. Φυσικά και όχι,
το προϊόν έχει εξελιχθεί: η διεπαφή έχει επανασχεδιαστεί σημαντικά, νέα
λειτουργίες, αλλά με την πάροδο του χρόνου άλλαξε η ιδεολογία της προστασίας του δικτύου και αναλόγως
Οι διαχειριστές άρχισαν να απαιτούν περισσότερα από τον ISA Server, που ήταν επίσης
Δεν είναι συμβατό με το νέο λειτουργικό σύστημα διακομιστή Win2k8/R2.

Το αποτέλεσμα δεν άργησε να έρθει. Στο συνέδριο RSA το 2008
Η Security εισήχθη ως ο διάδοχος του ISA Server, ο οποίος έλαβε νέο όνομα Πρώτη γραμμή
Πύλη διαχείρισης απειλών (ForefrontTM G, Threat Management Gateway).
Ένα από τα κύρια χαρακτηριστικά Forefront TMGέγινε συνεργασία με
άλλα προϊόντα της νέας πλατφόρμας Σουίτα Forefront Protection(κώδικας
όνομα "Stirling"

www.microsoft.com/forefront/stirling), σχεδιασμένο για ολοκληρωμένες
προστασία και κεντρική διαχείριση των παραμέτρων εταιρικής ασφάλειας
δίκτυα, διακομιστές και σταθμούς εργασίας. Επί του παρόντος περιλαμβάνει:

• Forefront Client Security(FCS, πρώην Microsoft Client Protection)
  — παρέχει προστασία για διακομιστές και σταθμούς εργασίας από διάφορους τύπους απειλών,
  ιούς, λογισμικό υποκλοπής spyware, rootkits και άλλος κακόβουλος κώδικας με τη δυνατότητα
  απλή κεντρική διαχείριση και αναφορά. Το FCS ενσωματώνεται με
  υπάρχουσα υποδομή λογισμικού και συμπληρώνει άλλες τεχνολογίες
  Microsoft Security?
• Forefront Security για τον Exchange Server(πρώην Microsoft Antigen για
  Exchange, εφεξής Forefront Protection 2010 for Exchange Server) -
  προστατεύει το περιβάλλον ανταλλαγής μηνυμάτων του Exchange Server από ιούς, worms, ανεπιθύμητα μηνύματα και
  ακατάλληλο περιεχόμενο, για τους σκοπούς αυτούς περιλαμβάνει πολλά
  μηχανές προστασίας από ιούς?
• Forefront Online Security για Exchange(FOSE) - βασίζεται σε σύννεφο
  παραλλαγή της προηγούμενης παραγράφου, δηλαδή η FOSE παρέχεται ως υπηρεσία,
  επιτρέποντας προστασία ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗεταιρεία και μείωση του κόστους
  περιεχόμενο διακομιστή. Ενσωματώνεται με Ενεργό αρχείοκαι Exchange Server όμως
  Μπορείτε να χρησιμοποιήσετε οποιονδήποτε άλλο διακομιστή ως διακομιστή αλληλογραφίας.
• Forefront Security for Office Communications Server- παρέχει
  Προστασία άμεσων μηνυμάτων που παρέχεται από αυτόν τον διακομιστή με έλεγχο
  κυκλοφορία με πολλά προγράμματα προστασίας από ιούς και αποκλεισμός μηνυμάτων με ύποπτα
  περιεχόμενο;
• Forefront Security για SharePoint t (πρώην Antigen for SharePoint, in
  (εφεξής Forefront Protection for SharePoint) - προστασία από ιούςεγκαταστάσεις αποθήκευσης
  έγγραφα (σε πραγματικό χρόνο και σε χρονοδιάγραμμα), που υλοποιούνται με χρήση
  Υπηρεσία SharePoint, εφαρμογή πολιτικών της εταιρείας σε περιεχόμενο, τύπους και
  επεκτάσεις αρχείων?
• Forefront Unified Access Gateway(UAG, πρώην Intelligent
  Application Gateway - IAG 2007) - απομακρυσμένη (εισερχόμενη) πύλη πρόσβασης (όχι
  προστασία) σε εφαρμογές, επιτρέποντάς σας να ελέγχετε και να διαχειρίζεστε την πρόσβαση σε
  υπηρεσίες δικτύου"από έξω", μέσω ενός ενιαίου σημείου εισόδου·
• Forefront Identity Manager(FIM, πρώην Identity Lifecycle Manager)
  — βελτιωμένη πλατφόρμα διαχείρισης ταυτότητας
  βάση υπηρεσιών web που χρησιμοποιεί ευέλικτα εργαλεία ανάθεσης
  δικαιώματα που βασίζονται σε πολιτικές, τα οποία τελικά βελτιώνουν την ασφάλεια και
  διαχειρισιμότητα εταιρικών περιβαλλόντων·
• Forefront Threat Management Gateway(ο κύριος χαρακτήρας του άρθρου μας) -
  προστασία από απειλές στο Διαδίκτυο, φιλτράρισμα κυκλοφορίας, IDS/IPS, φιλτράρισμα περιεχομένου.

Προηγουμένως, η Microsoft πρόσφερε πολλά διαφορετικά προϊόντα, καθένα από τα οποία
υπερασπίστηκε τον ιστότοπό του, είχε τη δική του κονσόλα διαχείρισης και σύστημα αναφοράς. Τέτοιος
Τα συστήματα προστασίας δεν κλιμακώνονται καλά και είναι άβολα στη διαχείριση. Σήμερα αντί
αυτό παρέχεται σε ειδικούς ολοκληρωμένη λύση, που συνεργάζεται με τον στρατηγό
βάση δεδομένων ρυθμίσεων, πληροφορίες σχετικά με απειλές, η διαχείριση γίνεται από μία κονσόλα και η οποία
μπορεί εύκολα να προσαρμοστεί στις συγκεκριμένες ανάγκες.

Χαρακτηριστικά Forefront TMG

Κύριο συστατικό Forefront TMG(τη στιγμή που γράφτηκε αυτό το άρθρο ήταν
2010 Release Candidate διαθέσιμο) είναι ένα τείχος προστασίας που
ελέγχει τα εισερχόμενα και εξερχόμενη κυκλοφορίασύμφωνα με τα καθιερωμένα
πολιτικοί. Αυτό το στοιχείο "κληρονομήθηκε" από τον ISA Server. Ανάμεσα στα νέα προϊόντα
μπορούμε να σημειώσουμε βελτιωμένη υποστήριξη NAT (για παράδειγμα, τώρα δεν υπάρχουν προβλήματα σε περίπτωση
εάν η εξωτερική διεπαφή έχει πολλές διευθύνσεις IP), λειτουργία διαχείρισης
εφεδρικά κανάλια Διαδικτύου (Πλεονασμός ISP, μόνο για εξερχόμενη κίνηση),
εμφάνιση σε ρυθμίσεις τείχους προστασίαςΚαρτέλες VoIP όπου έχει διαμορφωθεί η προστασία
και υποστήριξη για υπηρεσία VoIP (VoIP traversal).

Η λειτουργία IDS/IPS εκτελείται από το εξάρτημα Σύστημα Επιθεώρησης Δικτύου(ΝΑΚ,
Υπηρεσία ελέγχου δικτύου), η κύρια διαφορά από παρόμοιες λύσεις είναι
έλεγχος των προσπαθειών εκμετάλλευσης γνωστών τρωτών σημείων που βρίσκονται σε
προστατευμένα συστήματα, αντί να αναζητούν υπογραφές εκμετάλλευσης. Αυτή η προσέγγιση επιτρέπει
κλείστε το κενό κατά την περίοδο ανακάλυψης της ευπάθειας πριν από την κυκλοφορία ενός ενημερωμένου κώδικα που το εξαλείφει.
Η βάση του NIS είναι το GAPA (Generic Application-Level Protocol Analyzer),
παροχή γρήγορης αναζήτησης δεδομένων χαμηλού επιπέδου. Εκτός από την ανάλυση υπογραφών,
Το NIS περιέχει έναν αναλυτή συμπεριφοράς (Αξιολόγηση και απόκριση ασφαλείας, SAS),
ικανό να ανιχνεύει εισβολές με βάση τη συμπεριφορά (Behavioral Intrusion
Ανίχνευση).

Η δυνατότητα παροχής ασφαλούς πρόσβασης δεν έχει εξαφανιστεί
στους πόρους του Διαδικτύου και τον έλεγχο κυκλοφορίας (Προστασία Πελατών Web). Εδώ
Σημειώνουμε την εμφάνιση του πρωτοκόλλου SSTP (Secure Socket Tunneling Protocol,
Διαβάστε περισσότερα για αυτό στο άρθρο " "), η υποστήριξη για το οποίο εφαρμόστηκε για πρώτη φορά στα Vista
SP1 και Win2k8.

Το TMG ελέγχει τα HTTP και HTTPS (κάτι που δεν συνέβαινε προηγουμένως, αλλά το TMG
ενεργεί ως ενδιάμεσος) κυκλοφορία για την παρουσία κακόβουλου λογισμικού, χρησιμοποιώντας το ίδιο
τους ίδιους μηχανισμούς προστασίας με το Forefront Client Security και το Windows Defender.
Ο διαχειριστής μπορεί να καθορίσει κόμβους για τους οποίους δεν πρέπει να εκτελείται σάρωση,
το μέγιστο μέγεθος του ληφθέντος αρχείου, εάν ξεπεραστεί, η λήψη θα είναι
αποκλεισμένοι, επιτρεπόμενοι τύποι αρχείων. Ένα άλλο νέο στοιχείο σε αυτήν την ενότητα είναι
Δυνατότητα φιλτραρίσματος URL, η οποία καθιστά δυνατό τον έλεγχο της πρόσβασης σε
συγκεκριμένοι πόροι Ιστού βασισμένοι σε 80 κατηγορίες. Λίστα πιθανών
κατηγορίες και η σύνθεσή τους ενημερώνεται δυναμικά με συνδρομή.

Το TMG διαθέτει ενσωματωμένο διακομιστή μεσολάβησης SMTP που παρέχει λειτουργίες προστασίας έναντι
ιοί, ανεπιθύμητα μηνύματα και άλλες απειλές που διανέμονται μέσω e-mail. Επιπλέον, ταχυδρομική
Η κίνηση μπορεί να σαρωθεί από έως και 5 προγράμματα, τις περισσότερες από τις λειτουργίες φιλτραρίσματος
υλοποιείται μέσω ενσωμάτωσης με τον Exchange Server 2007 Edge. Στις πολιτικές (E-Mail
πολιτική) ο διαχειριστής μπορεί να ορίσει επεκτάσεις, πρότυπα ονομάτων, τύπους MIME
αρχεία που θα αποκλειστούν κατά τη μεταφορά. Το TMG μπορεί επίσης να δει
μηνύματα για την παρουσία ορισμένων φράσεων σε εισερχόμενα και εξερχόμενα μηνύματα, στη συνέχεια
Με βάση τις πολιτικές, τέτοιες επιστολές μπορούν να διαγραφούν με μια ειδοποίηση που αποστέλλεται
στον διαχειριστή.

Το TMG υποστηρίζει Win2k8R2, μπορεί να ενσωματωθεί με το Exchange 2007
SP1 ή το επερχόμενο Exchange 2010. Οι πρώτες εκδόσεις του TMG δεν μπόρεσαν να αναπτυχθούν στο
ομάδα εργασίας(μόνο σε περιβάλλον τομέα), γεγονός που μείωσε το εύρος εφαρμογής
προϊόν. Τώρα υπάρχει μια τέτοια ευκαιρία, αν και σε αυτή την περίπτωση θα είναι απαραίτητη
αφιερώστε λίγο χρόνο σε αποτελεσματική εγκατάστασητοπική βάση δεδομένων SAM (Ασφάλεια
Υπεύθυνος Λογαριασμών). Στη λειτουργία ομάδας εργασίας, ο έλεγχος ταυτότητας είναι δυνατός χρησιμοποιώντας
Διακομιστής RADIUS ή SecurID.

Θα αναφέρω μερικά σημαντικά σημείασχετικά με το IPv6, το οποίο
Πράγματα που πρέπει να λάβετε υπόψη κατά την ανάπτυξη του TMG:

Όλη η κίνηση IPv6 θα αποκλειστεί.

Πρωτόκολλο ISATAP (Intra-Site Automatic Tunnel Addressing).
Πρωτόκολλο) και η διεπαφή 6to4, ενσωματώνοντας πακέτα IPv6 στο IPv4, θα
άτομα με ειδικές ανάγκες;

κατά την επανεκκίνηση, μόνο η εγγραφή DNS "A" θα ενημερωθεί για
διακομιστή, αλλά όχι "AAAA"?

θα εκκαθαριστεί κρυφές μνήμες DNS, ARP και Ανακάλυψη Γειτονιάς (IPv6
έκδοση ARP).

Ναι, το TMG δεν υποστηρίζει πλήρως το πρωτόκολλο IPv6, αλλά λειτουργεί
ξέρει πώς να τον αντιμετωπίσει. Είναι επίσης δυνατή η ανάπτυξη του DirectAccess (το οποίο, παρεμπιπτόντως, είναι συνδεδεμένο
σε IPv6/IPsec) και TMG στο ίδιο σύστημα. Αν και αυτό θα απαιτήσει χορό με ντέφι, έτσι
πώς όταν εγκαθίσταται ο ρόλος DirectAccess, ορισμένοι κύριοι του TMG αρνούνται
λειτουργούν επειδή δεν μπορούν να καθορίσουν τις ρυθμίσεις δικτύου.

Το TMG διατίθεται σε δύο εκδόσεις: Enterprise και Standard Edition,
αν και μια τέτοια διαίρεση δεν σχεδιαζόταν αρχικά. Κύρια πλεονεκτήματα
Επιχείρηση πριν από το πρότυπο δύο. Αυτό καταργεί το όριο στον αριθμό των CPU (στο Standard
έως 4) και εργάζονται σε μια συστοιχία TMG που διαχειρίζεται ο διακομιστής Enterprise Management (Διακομιστής
διαχείριση επιχειρήσεων) με υποστήριξη Stirling. Ρυθμίσεις σε αυτήν την περίπτωση
αποθηκεύεται κεντρικά στον διακομιστή αποθήκευσης διαμόρφωσης. Προς την
για να αναβαθμίσετε το Standard σε Enterprise, πρέπει να εγκαταστήσετε μια νέα άδεια χρήσης
κλειδί: Κονσόλα διαχείρισης Forefront TMG - Κόμβος συστήματος - επιλέξτε τον διακομιστή και εισέλθετε
κατάλογος συμφραζόμενωνΙδιότητες - Αναβάθμιση σε Enterprise Edition, πληκτρολογήστε ένα νέο κλειδί.

Θα πρέπει επίσης να σημειωθεί ότι υπάρχει μια ελαφρώς απογυμνωμένη έκδοση
Forefront TMG Medium Business Edition (MBE) για Essential Business Server (ESB).
Αυτή η λύση έχει σχεδιαστεί για να προστατεύει δίκτυα μικρού και μεσαίου μεγέθους (έως 300
σταθμοί εργασίας). Δεν έχει σύστημα επιθεώρησης δικτύου, δεν εφαρμόζεται
δεν παρέχεται η δυνατότητα σάρωσης προστατευμένης κυκλοφορίας HTTPS και προστασίας e-mail
χρησιμοποιώντας εξισορρόπηση φορτίου και δημιουργία συμπλεγμάτων ανακατεύθυνσης, δεν το κάνει
ενσωματώνεται με προϊόντα της οικογένειας Stirling. Το TMG MBE είναι διαθέσιμο ως μέρος του
ESB, έτσι και πώς ανεξάρτητη απόφαση. Μπορεί να εγκατασταθεί σε 32-bit
Σύστημα.

Εγκατάσταση του Forefront TMG

Για εγκατάσταση Forefront TMGθα χρειαστείτε διακομιστή με CPU x64
(Δεν υποστηρίζονται CPU 32-bit) και 2 GB μνήμης RAM σε λειτουργία
x64 εκδόσεις Win2k8/2k8R2, καθώς και 2,5 GB χώρου στο σκληρό δίσκο (το διαμέρισμα πρέπει να είναι
μορφοποιημένο σε NTFS). Ανάμεσα στις απαιτήσεις υπάρχει και η Microsoft SQL Server 2005
Express Edition (MSEE), αλλά θα εγκατασταθεί αυτόματα, οπότε δεν χρειάζεται
κατεβάστε το ξεχωριστά.

Υπάρχουν πολλές επιλογές για τη χρήση της πύλης TMG. Αυτός μπορεί
σταθείτε στα όρια της ζώνης, αυτή είναι μια κλασική επιλογή, όταν βρίσκεται στη μία πλευρά
το Διαδίκτυο είναι συνδεδεμένο, από την άλλη - το εσωτερικό δίκτυο (απαιτεί δύο δίκτυα
προσαρμογείς). Μια ανάπτυξη αυτής της επιλογής είναι η έξοδος του DMZ σε ένα ξεχωριστό δίκτυο
διεπαφή. Η τεκμηρίωση περιγράφει επίσης την επιλογή Back Firewall όταν ενεργεί το TMG
ως δεύτερο τείχος προστασίας που βρίσκεται πίσω από μια λύση υλικού (για παράδειγμα, μια πύλη με
λειτουργίες φιλτραρίσματος). Και τέλος, είναι δυνατή η εργασία σε διακομιστή με ένα δίκτυο
διεπαφή. Σε αυτήν την περίπτωση, το TMG θα λειτουργήσει απλώς ως προσωρινή αποθήκευση
διακομιστής μεσολάβησης με δυνατότητες ελέγχου ταυτότητας χρήστη στο Active
Φιλτράρισμα καταλόγου, URL και αποκλεισμός περιεχομένου. Λαμβάνοντας υπόψη ότι η Τ.Μ.Γ.
είναι εγκατεστημένο στην είσοδο δικτύου, είναι λογικό ο διακομιστής να μην είναι
ελεγκτής τομέα. Εάν εντοπιστεί ένας ρόλος κατά την ανάπτυξη στον διακομιστή
"Υπηρεσίες τομέα Active Directory" (ακόμη και χωρίς να εκτελείται το dcpromo στη συνέχεια),
η εγκατάσταση θα σταματήσει χωρίς εξήγηση. Τώρα ας δούμε τη διαδικασία εγκατάστασης
Forefront TMG σε Win2k8R2.

Εκκινούμε το πακέτο εγκατάστασης που έχει ληφθεί από τον ιστότοπο της Microsoft και
Κάντε κλικ στο στοιχείο "Εργαλείο προετοιμασίας εγκατάστασης". Ακολουθώντας τις προτροπές αυτού
εργαλείο, εγκαταστήστε όλους τους ρόλους και τα εξαρτήματα που είναι απαραίτητα για
Το Forefront TMG λειτουργεί. Στο δεύτερο βήμα "Τύπος εγκατάστασης" πρέπει να αποφασίσετε
επιλογή εγκατάστασης. Από προεπιλογή, προτείνεται το "Install Forefront Threat".
Υπηρεσίες Management Gateway», το οποίο θα εγκαταστήσει το ίδιο το TMG και
κονσόλα διαχείρισης. Άλλες επιλογές σάς επιτρέπουν να εγκαταστήσετε μόνο την κονσόλα
Forefront TMG Management ή TMG Array Management Console. Με
Μετά την ολοκλήρωση της εργασίας "Εργαλείο προετοιμασίας", θα εμφανιστούν οι ακόλουθοι ρόλοι στο σύστημα: "Πολιτική δικτύου και
Πρόσβαση στις υπηρεσίες", " Διακομιστής Ιστού(IIS)", .Net Framework 3.5 και στοιχείο MSEE. Εάν
μην καταργήσετε την επιλογή του πλαισίου ελέγχου "Εκκίνηση Microsoft Forefront TMG Setup" στο τελευταίο βήμα,
Όταν ολοκληρωθεί το "Εργαλείο προετοιμασίας εγκατάστασης", θα εκκινηθεί ο Οδηγός εγκατάστασης TMG.
Δεν είναι κάτι περίπλοκο - επιβεβαιώνουμε την άδεια, εισάγουμε
όνομα οργανισμού και σειριακός αριθμός και, στη συνέχεια, ρυθμίσεις εσωτερικού δικτύου. ΣΕ
Στην τελευταία περίπτωση, μπορείτε να επιλέξετε τον προσαρμογέα δικτύου, να εισαγάγετε τη διεύθυνση δικτύου ή την περιοχή
διευθύνσεις IP. Αφού ολοκληρώσετε αυτό το στάδιο, είναι καλύτερο να κάνετε επανεκκίνηση του διακομιστή.

Ρυθμίσεις TMG

Μετά την εγκατάσταση του TMG, θα βρούμε την κονσόλα διαχείρισης στο μενού
Forefront TMG Management και Forefront TMG Performance Monitor
Παρακολούθηση απόδοσης". Από προεπιλογή, η κονσόλα συνδέεται στον τοπικό διακομιστή, αλλά
Είναι απίθανο ο διαχειριστής να εργάζεται από την αίθουσα διακομιστή. Για σύνδεση σε τηλεχειριστήριο
διακομιστή με εγκατεστημένο το TMG, επιλέξτε το στοιχείο "Σύνδεση" στο μενού περιβάλλοντος και,
ακολουθώντας τις οδηγίες στον "Οδηγό σύνδεσης διακομιστή αποθήκευσης διαμόρφωσης", σημειώστε
τοπικό σύστημα ξεχωριστός διακομιστήςή σύνδεση σε συστοιχία TMG.
Υπάρχουν περισσότερες από αρκετές ρυθμίσεις στην κονσόλα. Αποθηκεύτηκε από μια καλά μελετημένη διεπαφή,
το οποίο έχει επανασχεδιαστεί σημαντικά για να βελτιώσει τη χρηστικότητα. Όλες οι ρυθμίσεις
ομαδοποιούνται σε 12 μενού, σε καθένα από τα οποία ορίζονται συγκεκριμένες πολιτικές:
Τείχος προστασίας, WebAccess, E-mail, IPS και ούτω καθεξής. Ορισμένα στοιχεία επιτρέπουν
πρόσβαση σε λειτουργίες παρακολούθησης, αναφοράς και ενημέρωσης. Και σε ποιο σημείο όχι
Ελάτε, ένας μάγος βήμα προς βήμα θα σας συναντήσει παντού.

Όταν ξεκινάτε την κονσόλα για πρώτη φορά, ενεργοποιείται το "Getting Started".
Wizard", το οποίο ουσιαστικά ανοίγει την πρόσβαση σε τρεις άλλους οδηγούς: Network,
Διαμόρφωση και ανάπτυξη συστήματος. Ορισμένες ρυθμίσεις θα ληφθούν από το σύστημα
ρυθμίσεις, εάν χρειάζεται, τις διευκρινίζουμε.
Στην αρχή του Οδηγού ρυθμίσεων δικτύου θα σας ζητηθεί να επιλέξετε ένα πρότυπο
δίκτυο (Network Template), που αντιστοιχεί στην τρέχουσα εφαρμογή του TMG: Edge firewall,
3-Περίμετρος ποδιών, Πίσω τείχος προστασίας, Μονός προσαρμογέας δικτύου. Κατά την επιλογή του καθενός
Το στοιχείο θα εμφανίζει το διάγραμμα δικτύου, επομένως η αντιστοίχιση προτύπων είναι εύκολη
καταλάβω. Από προεπιλογή, προτείνεται το "Edge Firewall", το οποίο αντιστοιχεί σε
«τυποποιημένος» τρόπος χρήσης, όταν συνδέεται στη μία πλευρά
το Διαδίκτυο, από την άλλη - ένα τοπικό δίκτυο. Το αφήνουμε, υποδεικνύουμε LAN και WAN
διεπαφές. Οι ρυθμίσεις συστήματος συνίστανται στον καθορισμό της ιδιότητας μέλους τομέα
ή ομάδα εργασίας, καθώς και την εισαγωγή του επιθέματος DNS. Στις περισσότερες περιπτώσεις εδώ
πρέπει να τα αφήσεις όλα όπως είναι. Ο Οδηγός ανάπτυξης καθορίζει τα "Windows
Ενημέρωση". Στη συνέχεια, ενεργοποιούμε τις άδειες προστασίας NIS, Web και Email και στο επόμενο
στάδια του οδηγού, ορίζουμε τη σειρά ενημέρωσης των αντίστοιχων υπογραφών.
Το πλαίσιο ελέγχου "Εκτέλεση Οδηγού πρόσβασης στο Web" που επιλέχθηκε στο τελευταίο παράθυρο σας επιτρέπει να το κάνετε αμέσως
εκτελέστε τον οδηγό ρύθμισης πρόσβασης στον ιστό, αλλά δεν χρειάζεται να βιαστείτε με αυτό ακόμα.

Επιλέξτε τον διακομιστή σας από το μενού της κονσόλας. Στο μεσαίο παράθυρο θα εμφανιστεί
το παράθυρο "Ρόλοι διαμόρφωσης", περιέχει συνδέσμους προς 5 εργασίες: πρόσβαση σε εσωτερικές
χρήστες σε ιστότοπους (Πολιτική πρόσβασης στον Ιστό), πολιτικές ηλεκτρονικού ταχυδρομείου, ρυθμίσεις NIS,
δημοσίευση εσωτερικών πόρων για παροχή πρόσβασης "από έξω", ενεργοποίηση και
ρύθμιση πρόσβασης VPN. Φυσικά, δεν είναι όλα αυτά καθήκοντα για να εξασφαλιστεί πλήρης
προστασίας και λειτουργίας των υπηρεσιών, ο διαχειριστής έχει ήδη συντάξει μια συγκεκριμένη λίστα για κάθε δίκτυο
εγώ ο ίδιος. Μετά την εκτέλεση του "Started Wizard" θα ενεργοποιηθεί το NIS και
κανόνες αποκλεισμού στο Τείχος προστασίας και την πρόσβαση στο Web. Αντίστοιχα, συνδεθείτε στο διαδίκτυο
Δεν θα είναι δυνατή η λήψη και αποστολή αλληλογραφίας, καθώς και η πρόσβαση στο εσωτερικό
πόρους "από έξω", έτσι περνάμε διαδοχικά από κάθε βήμα και διαμορφώνουμε
πολιτική πρόσβασης.

Ρύθμιση πολιτικών πρόσβασης στον ιστό και χρήσης email

Για παράδειγμα, ας δούμε τις ρυθμίσεις για την παροχή πρόσβασης στο web και
εργασία ηλεκτρονικού ταχυδρομείου. Μεταβείτε στην καρτέλα "Πολιτική πρόσβασης στον Ιστό" και επιλέξτε
Πεδίο "Εργασία" Σύνδεσμος "Διαμόρφωση πολιτικής πρόσβασης στο Web", ο οδηγός ρυθμίσεων θα ξεκινήσει.
Αποφασίζουμε εάν θα χρησιμοποιήσουμε αποκλεισμό πόρων ιστού ανά κατηγορία. Αν
επιλέξτε "Ναι, δημιουργήστε έναν αποκλεισμό κανόνα...", στη συνέχεια στο επόμενο βήμα πρέπει να καθορίσετε
κατηγορίες πόρων που θα αποκλειστούν. Υπάρχουν ήδη μια ντουζίνα στη λίστα
κατηγορίες, για να προσθέσετε μια νέα κατηγορία στη λίστα, κάντε κλικ στο κουμπί "Προσθήκη" και
Σημειώστε όλα όσα χρειάζεστε στο παράθυρο που εμφανίζεται. Το επόμενο βήμα του οδηγού είναι "Κακόβουλο λογισμικό"
Inspection Setting", εδώ επιλέγουμε αν θα ελέγξουμε την κυκλοφορία HTTP για την παρουσία
κακόβουλος κώδικας. Το πρόσθετο πλαίσιο ελέγχου "Αποκλεισμός κρυπτογραφημένων αρχείων" επιτρέπει
αποκλεισμός κρυπτογραφημένων αρχείων. Στη συνέχεια, διαμορφώνουμε τον έλεγχο της κυκλοφορίας HTTPS.
Υπάρχουν τέσσερις πιθανές επιλογές εδώ:

έλεγχος;

Μην ελέγχετε ή επιτρέπετε την κυκλοφορία.

μην ελέγχετε την κίνηση, ελέγξτε το πιστοποιητικό και εάν υπάρχει ασυμφωνία
ΟΙΚΟΔΟΜΙΚΟ ΤΕΤΡΑΓΩΝΟ;

αποκλεισμός HTTPS.

Εάν επιλεγεί η πρώτη επιλογή, ο οδηγός θα σας ζητήσει να εισαγάγετε ένα πιστοποιητικό,
που πρέπει πρώτα να δημιουργηθεί (για λεπτομέρειες, βλ
άρθρο "Ευρωπαϊκό VPN"). Στη συνέχεια ακολουθεί η ρύθμιση της προσωρινής αποθήκευσης. Επιλέξτε το πλαίσιο ελέγχου "Ενεργοποίηση".
Web caching" και κάνοντας κλικ στο "Cache Drives", καθορίστε τη μονάδα δίσκου και εισαγάγετε το μέγιστο
μέγεθος προσωρινής μνήμης (προεπιλογή 0, δηλαδή απεριόριστο). Αφού κάνετε κλικ στο κουμπί "Τέλος".
Θα δημιουργηθούν νέες ρυθμίσεις, για να τεθούν σε ισχύ, κάντε κλικ στο κουμπί
"Εφαρμογή" στο επάνω μέρος του παραθύρου. Οι χρήστες Intranet μπορούν πλέον να προβάλλουν
πληροφορίες για πόρους Ιστού.

Χρησιμοποιώντας τους συνδέσμους στην καρτέλα "Εργασία", μπορείτε να αλλάξετε τις ρυθμίσεις χωρίς
επανεκκινήστε τον οδηγό. Για να αλλάξετε έναν μεμονωμένο κανόνα, κάντε διπλό κλικ
και, μετακινώντας τις καρτέλες ιδιοτήτων, απενεργοποιήστε/ενεργοποιήστε τον κανόνα, αλλάξτε
Από/Προς, υποδείξτε το πρωτόκολλο, το χρονοδιάγραμμα, τον τύπο περιεχομένου. Κατάσταση ατόμου
Μπορείτε να δείτε και να αλλάξετε στοιχεία στο πεδίο "Ρύθμιση πρόσβασης στο Web".

Για να ρυθμίσετε τις παραμέτρους της εργασίας με το E-mail, επιλέξτε «Πολιτική E-Mail» στο μενού.
Εδώ προχωράμε παρόμοια με το προηγούμενο σημείο. Κάντε κλικ στο "Διαμόρφωση e-mail"
Πολιτική". Όταν ξεκινήσει ο οδηγός, θα σας ζητήσει πρώτα να καθορίσετε τη διεύθυνση IP του εσωτερικού
διακομιστή αλληλογραφίας και εισαγάγετε μια λίστα επιτρεπόμενων τομέων. Σημειώνουμε τα δίκτυα στα οποία
Τα αιτήματα αλληλογραφίας θα ακούγονται, προσδιορίστε το FQDN (Πλήρως πιστοποιημένο όνομα τομέα),
χρησιμοποιείται για την επικοινωνία με τον διακομιστή όταν ανταποκρίνεται σε αιτήματα HELO/EHLO. Προκαθορισμένο
Η κρυπτογράφηση κυκλοφορίας TLS (Transport Layer Security) είναι απενεργοποιημένη, για να την ενεργοποιήσετε
επιλέξτε το πλαίσιο ελέγχου "Ενεργοποίηση κρυπτογράφησης TLS". Στο τελευταίο βήμα, ρύθμιση
αντίστοιχα πλαίσια ελέγχου, ενεργοποιήστε τις λειτουργίες antispam και antivirus scanning
κίνηση αλληλογραφίας (αν, φυσικά, υποτίθεται ότι θα χρησιμοποιηθούν). Κάντε κλικ
«Τέλος» και εφαρμόστε τις ρυθμίσεις κάνοντας κλικ στο «Εφαρμογή». Κανόνες που δημιουργήθηκαν στο
Τα αποτελέσματα του οδηγού θα εμφανιστούν στο παράθυρο της κονσόλας. Θέσπιση κανόνων
antispam και antivirus εκτελούνται στα "Φιλτράρισμα ανεπιθύμητων μηνυμάτων" και "Ιός και
Φιλτράρισμα Περιεχομένου» αντίστοιχα.

συμπέρασμα

Όπως μπορείτε να δείτε, υπάρχουν πολλές καινοτομίες στην οικογένεια Forefront,
και το πιο σημαντικό από αυτά είναι η στενή ενοποίηση των προϊόντων, που θα επιτρέψει μια τάξη μεγέθους
αύξηση της αποτελεσματικότητας χρήσης διάφορες λύσειςκαι προσθέστε ευκολία
εργασία διαχειριστή. Για παράδειγμα Forefront TMGείναι ξεκάθαρα ορατό ότι μόνο ένα
Η αλλαγή του ονόματος δεν έλυσε το πρόβλημα. Έχει πάρα πολλές λειτουργίες που
έχουν ζητηθεί από τους διαχειριστές περισσότερες από μία φορές.

TMG εναντίον UAG

Το Forefront TMG και το UAG αποτελούν μέρος του Forefront Edge Security και
Access, που παρέχει λύσεις περιμετρικής ασφάλειας και πρόσβασης
στο εσωτερικό δίκτυο, αλλά ο σκοπός τους είναι εντελώς διαφορετικός. Το TMG έχει το κύριο πράγμα
σκοπός είναι η προστασία της εσωτερικής περιμέτρου, η UAG είναι η διασφάλιση της ασφάλειας
πρόσβαση σε υπηρεσίες "από έξω". Αν και το TMG εφαρμόζει την ικανότητα οργάνωσης
πρόσβαση σε εσωτερικούς πόρους μέσω VPN και δημοσίευση εσωτερικών υπηρεσιών
(Secure Web Publishing), αλλά η UAG από αυτή την άποψη παρέχει εξαιρετικές ευκαιρίες και
ευκαμψία.

ΠΛΗΡΟΦΟΡΙΕΣ

Το Forefront "Stirling" είναι μια ολοκληρωμένη λύση που έχει σχεδιαστεί για
ολοκληρωμένη προστασία και κεντρική διαχείριση των ρυθμίσεων ασφαλείας
εταιρικά δίκτυα, διακομιστές και σταθμούς εργασίας.

Το σύστημα αναφοράς Forefront "Stirling" βασίζεται στο MS SQL
Server 2008 Reporting Services, η μηχανή αναφοράς είναι ικανή να ικανοποιήσει αιτήματα
οι περισσότεροι διαχειριστές.

Πριν εγκαταστήσετε το Forefront TMG, πρέπει να ενημερώσετε το σύστημά σας
με βοήθεια Ενημερωμένη έκδοση για Windows: Πίνακας Ελέγχου- ΣΥΣΤΗΜΑ ΚΑΙ ΑΣΦΑΛΕΙΑ.

Antivirus, ενημερώσεις antispam, υπογραφές NIS, Φιλτράρισμα URL
διαθέσιμο μέσω συνδρομής επί πληρωμή.

Σελίδα TechNet στο Forefront -

technet.microsoft.com/en-us/library/cc901531.aspx

ΠΡΟΕΙΔΟΠΟΙΗΣΗ

Το Forefront TMG δεν μπορεί να εγκατασταθεί σε διακομιστή που λειτουργεί
λειτουργίες ελεγκτή τομέα.

Μετά την εγκατάσταση του Forefront TMG, όλες οι συνδέσεις δικτύου
είναι μπλοκαρισμένα.

Τις προάλλες μπερδευτήκαμε και αποφασίσαμε να μεταφέρουμε όλους τους χρήστες σε proxies στο TMG. Αποφάσισα να δοκιμάσω αυτή τη διαδικασία σε μια εικονική μηχανή.

Τυπικές λειτουργίες πελάτη TMG

• Πολιτική τείχους προστασίας που βασίζεται σε χρήστες ή ομάδες για διακομιστές μεσολάβησης Ιστού και μη μέσω πρωτοκόλλων TCP και UDP (μόνο για αυτά τα πρωτόκολλα)
• Υποστηρίζει πολύπλοκα πρωτόκολλα χωρίς την ανάγκη φίλτρου εφαρμογής TMG
• Απλοποιημένη ρύθμιση δρομολόγησης για μεγάλους οργανισμούς
• Αυτόματη ανακάλυψη πληροφοριών που βασίζονται σε TMG Ρυθμίσεις DNSκαι διακομιστή DHCP.

Απαιτήσεις συστήματος

Ο πελάτης TMG έχει ορισμένες απαιτήσεις συστήματος:

Υποστηριζόμενο λειτουργικό σύστημα

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Υποστηριζόμενες εκδόσεις του ISA Server και του Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Ρυθμίσεις πελάτη TMG στον διακομιστή TMG

Υπάρχουν μόνο λίγες ρυθμίσεις στον διακομιστή Forefront TMG που ελέγχουν πώς συμπεριφέρεται ο πελάτης Forefront TMG. Πρώτα απ 'όλα, μπορείτε να ενεργοποιήσετε την υποστήριξη πελάτη TMG για να ορίσετε το εσωτερικό δίκτυο στον διακομιστή TMG, όπως φαίνεται στην παρακάτω εικόνα.

Εικόνα 1: Ρυθμίσεις πελάτη TMG στο TMG

Μόλις ενεργοποιηθεί η υποστήριξη πελάτη TMG (αυτή είναι η προεπιλογή σε μια τυπική εγκατάσταση TMG), μπορείτε επίσης να αυτοματοποιήσετε τη διαμόρφωση του προγράμματος περιήγησης στο Web υπολογιστές-πελάτες. Κατά τη διάρκεια των κανονικών διαστημάτων ανανέωσης του προγράμματος-πελάτη TMG ή κατά την εκκίνηση της υπηρεσίας, το πρόγραμμα περιήγησης λαμβάνει τις ρυθμίσεις που έχουν διαμορφωθεί στην κονσόλα διαχείρισης TMG.

Στις ρυθμίσεις εφαρμογών στον υπολογιστή-πελάτη TMG στην κονσόλα TMG, μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε ορισμένες ρυθμίσεις εξάρτησης εφαρμογής.

Δείκτης μ.Χ

Το Microsoft Forefront TMG παρέχει μια νέα δυνατότητα αυτόματη ανίχνευσηΔιακομιστής TMG για πελάτη TMG. Διαφορετικός ΠΡΟΗΓΟΥΜΕΝΕΣ ΕΚΔΟΣΕΙΣΟι πελάτες τείχους προστασίας, οι πελάτες Forefront TMG μπορούν τώρα να χρησιμοποιήσουν έναν δείκτη στην υπηρεσία καταλόγου Active Directory για να βρουν τον αντίστοιχο διακομιστή TMG. Ο πελάτης TMG χρησιμοποιεί LDAP για να αναζητήσει τις απαιτούμενες πληροφορίες στην υπηρεσία καταλόγου Active Directory.

Σημείωση:Εάν ο πελάτης TMG δεν βρει ένα διακριτικό AD, δεν θα επιστρέψει στο κλασικό σχήμα αυτόματης ανακάλυψης μέσω DHCP και DNS για λόγους ασφαλείας. Αυτό γίνεται για να μειωθεί ο κίνδυνος μιας κατάστασης στην οποία ένας εισβολέας προσπαθεί να αναγκάσει έναν πελάτη να χρησιμοποιήσει λιγότερο ασφαλή τρόπο. Εάν μπορεί να δημιουργηθεί η σύνδεση Active Directory αλλά δεν μπορεί να βρεθεί ο δείκτης AD, οι πελάτες TMG επιστρέφουν στο DHCP και στο DNS.

Εργαλείο TMGADConfig

Για να δημιουργήσετε μια διαμόρφωση AD Marker στην Active Directory, μπορείτε να κάνετε λήψη του εργαλείου TMG AD Config από το Κέντρο λήψης της Microsoft (πρέπει να βρείτε το AdConfigPack.EXE). Μετά τη λήψη και την εγκατάσταση του εργαλείου στο TMG, πρέπει να εκτελέσετε την ακόλουθη εντολή στον διερμηνέα για να προσθέσετε το κλειδί διακριτικού AD στο κλειδί μητρώου:

Tmgadconfig προσθήκη 'προεπιλογής' τύπου winsock 'url http://nameoftmgserver.domain.tld:8080/wspad.dat

Μπορείτε επίσης να αφαιρέσετε τον δείκτη AD χρησιμοποιώντας το εργαλείο tmgadconfig, εάν αποφασίσετε να μην χρησιμοποιήσετε την υποστήριξη του δείκτη AD.

Εγκατάσταση του προγράμματος-πελάτη TMG

Η πιο πρόσφατη έκδοση του προγράμματος-πελάτη TMG μπορεί να ληφθεί από τον ιστότοπο της Microsoft.

Ξεκινήστε τη διαδικασία εγκατάστασης και ακολουθήστε τις οδηγίες του οδηγού.

Εικόνα 3: Εγκατάσταση του προγράμματος-πελάτη TMG

Μπορείτε να καθορίσετε τη θέση του διακομιστή TMG με μη αυτόματο τρόπο ή αυτόματα κατά τη διαδικασία εγκατάστασης του προγράμματος-πελάτη TMG. Μετά την εγκατάσταση, μπορείτε να διαμορφώσετε εκ νέου τις ρυθμίσεις του κινητήρα ανίχνευσης στον υπολογιστή-πελάτη TMG χρησιμοποιώντας το Εργαλείο διαμόρφωσης προγράμματος-πελάτη TMG, το οποίο βρίσκεται στη γραμμή εργασιών του πελάτη σας.

Εικόνα 4: Επιλογή υπολογιστή για εγκατάσταση του προγράμματος-πελάτη TMG

Προηγμένη αυτόματη ανίχνευση

Εάν θέλετε να αλλάξετε τη συμπεριφορά της διαδικασίας αυτόματης ανίχνευσης, ο πελάτης TMG έχει τώρα μια νέα επιλογή για τη διαμόρφωση της μεθόδου αυτόματης ανίχνευσης.

Εικόνα 5: Προηγμένη αυτόματη ανίχνευση

Ειδοποιήσεις επιθεώρησης HTTPS

Το Microsoft Forefront TMG έχει νέο χαρακτηριστικόεπιθεώρηση της κυκλοφορίας HTTPS για εξερχόμενες συνδέσεις πελατών. Για την ενημέρωση των χρηστών σχετικά με αυτήν τη διαδικασία, ο νέος πελάτης TMG μπορεί να χρησιμοποιηθεί για να ενημερώσει τους χρήστες ότι οι εξερχόμενες συνδέσεις HTTPS ελέγχονται εάν το χρειάζεστε. Οι διαχειριστές TMG έχουν επίσης τη δυνατότητα να απενεργοποιήσουν τη διαδικασία ειδοποίησης κεντρικά από τον διακομιστή TMG ή χειροκίνητα σε κάθε πελάτη Forefront TMG.

Το Microsoft Forefront Threat Management Gateway 2010 υποστηρίζει μόνο λειτουργικά συστήματα Windows Server 2008 SP2 ή Windows Server 2008 R2.

Ελάχιστες Απαιτήσεις Συστήματος:

• Υποστηριζόμενα λειτουργικά συστήματα: Windows Server 2008 SP2 ή Windows Server 2008 R2.
• υπολογιστής με διπλό πυρήνα (1 CPU x δύο πυρήνες) Επεξεργαστής 64 bit;
• 2 GB RAM?
• ένα τοπικό τμήμα σκληρός δίσκοςΜε σύστημα αρχείων NTFS;

• υπολογιστής τετραπλού πυρήνα (2 CPU x δύο πυρήνες ή 1 CPU x τέσσερις πυρήνες) Επεξεργαστής 64 bit;
• 4 GB RAM
• 2,5 GB ελεύθερου χώρου στον σκληρό δίσκο (θα χρησιμοποιηθεί μόνο για την προσωρινή αποθήκευση και την προσωρινή αποθήκευση αρχείων κατά τη διάρκεια των ελέγχων διαθεσιμότητας) κακόβουλο λογισμικό);
• δύο δίσκοι για καθοδήγηση syslogκαι το αρχείο καταγραφής TMG και ένα για την προσωρινή αποθήκευση και τον έλεγχο για κακόβουλο λογισμικό.
• μία κάρτα δικτύου συμβατή με το λειτουργικό σύστημα του υπολογιστή για αλληλεπίδραση με το εσωτερικό δίκτυο.
• πρόσθετη κάρτα δικτύου για κάθε δίκτυο που είναι συνδεδεμένο στον διακομιστή Forefront TMG.

Εγκατάσταση προϊόντος

Ένα ολοκληρωμένο σύνολο προγραμμάτων για τη διασφάλιση της ασφάλειας του δικτύου, που σας επιτρέπει να αυξήσετε την αξιοπιστία της ασφάλειας και να ενισχύσετε τον έλεγχο του πελάτη και του διακομιστή λειτουργικά συστήματα, χάρη στην ενσωμάτωση με την υπάρχουσα υποδομή πληροφορικής και την απλοποίηση της ανάπτυξης, διαχείρισης και ανάλυσης.

Με τις προσπάθειες της Microsoft, κυκλοφόρησε το πρώτο εξάμηνο του 2009 η πλήρης έκδοση του προϊόντος (Forefront TMG), που είναι άμεσος διάδοχος του Microsoft ISA Server. Εκτός από όλες τις λειτουργίες του Microsoft ISA Server, το νέο προϊόν περιλαμβάνει βελτιώσεις σε ήδη υπάρχουσες, καθώς και πολλές νέες λειτουργίες.

Το Forefront TMG πωλείται σε δύο γεύσεις: Standard και Enterprise. Λειτουργικά, είναι πρακτικά τα ίδια· οι μόνες διαφορές είναι στους περιορισμούς αδειοδότησης, οι οποίοι δίνονται παρακάτω.

Επεξεργαστές		Χωρίς όρια
	Υποστήριξη 2 GB RAM	Χωρίς όρια
Εξισορρόπηση φόρτου δικτύου
Υποστήριξη πρωτοκόλλου δρομολόγησης συστοιχίας κρυφής μνήμης
Χρησιμοποιώντας την Κονσόλα διαχείρισης Enterprise
Η ανάγκη αδειοδότησης όλων των εικονικών μηχανών ανά CPU εκτός από τη φυσική CPU
Δυνατότητα μεταφοράς σε οποιονδήποτε άλλο διακομιστή	Η άδεια εκδίδεται σε φυσικό διακομιστή και μπορεί να αλλάξει μόνο μία φορά κάθε 90 ημέρες	Οποτεδήποτε

* Μπορείτε να διαχειριστείτε τους διακομιστές Standard Edition χρησιμοποιώντας την Κονσόλα διαχείρισης TMG Enterprise.

Εικόνα 1: Παράθυρο εγκατάστασης της πύλης διαχείρισης απειλών Forefront

Έτσι φαίνεται το παράθυρο εγκατάστασης Αμέσως πριν εγκαταστήσουμε το προϊόν, πρέπει να εκτελέσουμε το εργαλείο προετοιμασίας, το οποίο θα διαμορφώσει τους ρόλους και τα στοιχεία των Windows.

Εικόνα 2: Εργαλείο προεγκατάστασης της πύλης διαχείρισης απειλών Forefront

Αφού το εργαλείο προετοιμασίας ολοκληρώσει την εργασία του, μπορείτε να προχωρήσετε απευθείας στην ίδια την εγκατάσταση. Forefront Threat Management Gatewayπου γίνεται σε τρία στάδια:

• εγκατάσταση των κύριων εξαρτημάτων?
• πρόσθετα στοιχεία (SQL Express).
• αρχικοποίηση συστήματος.

Εικόνα 3: Βήματα εγκατάστασης της πύλης διαχείρισης απειλών Forefront

Στο πρώτο στάδιο της εγκατάστασης, σας ζητείται να επιλέξετε τον κατάλογο όπου θα εγκατασταθεί το προϊόν, καθώς και να υποδείξετε το εύρος των διευθύνσεων που θα περιλαμβάνονται εσωτερικό δίκτυοδιακομιστές Forefront Threat Management Gateway.

Εικόνα 4: Καθορισμός εύρους εσωτερικού δικτύου

Η εγκατάσταση πραγματοποιείται με τη χρήση ειδικού οδηγού και δεν προκαλεί δυσκολίες.

Εικόνα 5: Επιλογή διευθύνσεων IP

Αφού προσδιορίσετε κάρτα δικτύουΤο εύρος των διευθύνσεων IP που θα συμπεριληφθούν στο εσωτερικό δίκτυο του διακομιστή θα αντικατασταθούν αυτόματα.

Εικόνα 6: Επιλογή κάρτας δικτύου

Το μόνο που έχουμε να κάνουμε είναι να επιβεβαιώσουμε την επιλογή μας πατώντας Εντάξεικαι ο οδηγός εγκατάστασης θα μας προειδοποιήσει ότι ορισμένες υπηρεσίες θα διακοπούν ή θα επανεκκινηθούν κατά την εγκατάσταση του προϊόντος, τότε όλα γίνονται αυτόματα.

Η διαδικασία εγκατάστασης είναι σχεδιασμένη με τέτοιο τρόπο ώστε να μην δημιουργεί ερωτήσεις ακόμη και για απλός χρήστης, αν και το ίδιο το προϊόν έχει σχεδιαστεί για διαχειριστές συστημάτων και ειδικούς πληροφορικής. Πρέπει να πούμε ότι η Microsoft νοιάζεται για τους χρήστες της και προσπαθεί να κάνει τα πάντα εξαιρετικά απλά και ξεκάθαρα.

Στο τέλος της εγκατάστασης, εμφανίζεται ένα παράθυρο μπροστά μας, το οποίο μας ειδοποιεί ότι η εγκατάσταση έχει ολοκληρωθεί και τώρα θα πρέπει να τρέξουμε το πρόγραμμα διαχείρισης Forefront Threat Management Gateway.

Εικόνα 7: Ολοκληρώθηκε η εγκατάσταση της πύλης διαχείρισης απειλών Forefront

Επιλέξτε το πλαίσιο δίπλα στο προτεινόμενο στοιχείο και κάντε κλικ στο Τέλος. Σε αυτό το σημείο, η εγκατάσταση έχει ολοκληρωθεί και προχωράμε στη ρύθμιση του προϊόντος.

Αρχική εγκατάσταση

Εμφανίζεται μπροστά μας η διεπαφή προϊόντος, την οποία όμως δεν χρειαζόμαστε ακόμα· σε αυτό το στάδιο προτείνεται να γίνει η αρχική ρύθμιση του προγράμματος, χρησιμοποιώντας έναν ειδικό οδηγό που θα πραγματοποιήσει ολόκληρη τη ρύθμιση σε τρία στάδια.

Εικόνα 8: Οδηγός αρχικής εγκατάστασης πύλης διαχείρισης απειλών Forefront

Στο κάτω μέρος του παραθύρου βλέπουμε μια προειδοποίηση ότι σε περίπτωση αναβάθμισης από Microsoft ISA 2006Η εισαγωγή ρυθμίσεων διαμόρφωσης πρέπει να γίνει πριν από την εκτέλεση αυτού του οδηγού.

Τώρα θα πρέπει να ακολουθήσουμε τις απλές οδηγίες του οδηγού για να το κάνουμε Forefront TMGδούλεψε με τον τρόπο που χρειαζόμασταν. Στο πρώτο βήμα, θα διαμορφώσουμε τις παραμέτρους δικτύου.

Εικόνα 9: Διαμόρφωση ρυθμίσεων δικτύου Forefront TMG

Επιλέξτε τη μέθοδο που χρειαζόμαστε και κάντε κλικ Περαιτέρω, σε αυτό το σημείο αυτό το στάδιο διαμόρφωσης θα ολοκληρωθεί και ο οδηγός προτείνει να προχωρήσετε στη διαμόρφωση του συστήματος.

Εικόνα 10: Διαμόρφωση ρυθμίσεων δικτύου Forefront TMG

Διαμορφώνουμε τα στοιχεία που χρειαζόμαστε και επιλέγουμε Περαιτέρω, εδώ ο οδηγός τελειώνει την εργασία του και έχουμε ακόμα ένα στοιχείο διαμόρφωσης - ρύθμιση παραμέτρων ανάπτυξης Forefront TMG. Εδώ, το πρώτο πράγμα που πρέπει να κάνουμε είναι να επιλέξουμε να χρησιμοποιήσουμε την υπηρεσία Microsoft Update για να διασφαλίσουμε τη λειτουργικότητα των μηχανισμών προστασίας που χρησιμοποιεί Forefront TMG.

Εικόνα 11: Εγκατάσταση ενημερώσεων της Microsoft για το Forefront TMG

Εικόνα 12: Διαμόρφωση ρυθμίσεων ασφαλείας Forefront TMG

Στο επόμενο στάδιο, μας ζητείται να διαμορφώσουμε τα στοιχεία που έχουμε επιλέξει.

Εικόνα 13: Διαμόρφωση ενημερώσεων βάσης δεδομένων προστασίας από ιούς

Εδώ αφήνουμε τα πάντα σύμφωνα με τις προτεινόμενες παραμέτρους και κάνουμε κλικ Περαιτέρω. Σε αυτό το στάδιο, η Microsoft μας προσφέρει συμμετοχή σε ένα πρόγραμμα που έχει ήδη εξοικειωθεί με τα προϊόντα αυτού του προμηθευτή, το οποίο βοηθά στη βελτίωση λογισμικό. Για να γίνει αυτό, ορισμένα δεδομένα θα συλλεχθούν από τον υπολογιστή μας, όπως πληροφορίες διαμόρφωσης υλικού και χρήσης Forefront TMG, η συλλογή δεδομένων πραγματοποιείται ανώνυμα, επομένως επιλέγουμε το αντικείμενο που μας προτείνεται.

Για όσους για κάποιο λόγο δεν εμπιστεύονται αυτό το πρόγραμμα, υπάρχει η ευκαιρία να αρνηθούν να συμμετάσχουν, αν και, κατά τη γνώμη μου, αυτό είναι παράλογο, έχουμε ήδη εμπιστευθεί την ασφάλειά μας σε αυτό το προϊόν, επομένως δεν έχει νόημα να αμφιβάλλουμε για αυτό το πρόγραμμα , δεν υπάρχουν προσωπικές πληροφορίες με τον υπολογιστή δεν πηγαίνει.

Εικόνα 14: Πρόγραμμα βελτίωσης ποιότητας λογισμικού

Στο επόμενο βήμα, μας ζητείται να επιλέξουμε το επίπεδο συμμετοχής στο πρόγραμμα Αναφορά τηλεμετρίας της Microsoft. Αυτή η υπηρεσία επιτρέπει στους ειδικούς της Microsoft να βελτιώσουν τα πρότυπα αναγνώρισης επιθέσεων, καθώς και να αναπτύξουν λύσεις για τον μετριασμό των συνεπειών των απειλών, συμφωνούμε με το συνηθισμένο επίπεδο συμμετοχής και κάνουμε κλικ Περαιτέρω.

Εικόνα 15: Επιλογή επιπέδου ιδιότητας μέλους αναφοράς τηλεμετρίας της Microsoft

Αυτό το βήμα ολοκληρώνει τον οδηγό αρχικής εγκατάστασης.

Εικόνα 16: Εκκίνηση του Οδηγού πρόσβασης στο Web

Κάντε κλικ Κλείσεκαι ως εκ τούτου εκκινήστε αμέσως τον Οδηγό εγκατάστασης πρόσβασης στο Web. Το πρώτο βήμα είναι να μπορείτε να επιλέξετε τη δημιουργία κανόνων που αποκλείουν τις ελάχιστες προτεινόμενες κατηγορίες διευθύνσεων URL.

Εικόνα 17: Κανόνες πολιτικής πρόσβασης στο Web

Σε αυτό το βήμα θα επιλέξουμε την προτεινόμενη ενέργεια, π.χ. θα δημιουργηθούν κανόνες. Στη συνέχεια, πρέπει να επιλέξετε ποιες κατηγορίες ιστοτόπων θέλετε να αποκλείσετε την πρόσβαση των χρηστών. Εάν είναι απαραίτητο, μπορείτε να προσθέσετε τη δική σας ομάδα ιστοτόπων για αποκλεισμό, να αλλάξετε οποιαδήποτε από τις προκαθορισμένες, καθώς και τη δυνατότητα δημιουργίας εξαιρέσεων.

Η σχέση ενός πόρου με έναν συγκεκριμένο τύπο ανάθεσης πραγματοποιείται χρησιμοποιώντας ένα αίτημα για Microsoft Reputation Service, οι διευθύνσεις Ιστού μεταδίδονται στον διακομιστή μέσω ασφαλούς καναλιού.

Μετά από αυτό, προχωράμε στις παραμέτρους για τον έλεγχο της κυκλοφορίας για κακόβουλο λογισμικό. Φυσικά, επιλέγουμε την προτεινόμενη ενέργεια, ώστε η επισκεψιμότητα HTTP να φιλτράρεται Forefront TMG.

Είναι σημαντικό να σημειώσετε την επιλογή αποκλεισμού της μεταφοράς αρχείων που προστατεύονται με κωδικό πρόσβασης. Σε τέτοια αρχεία κακόβουλα αρχείαή άλλο απαράδεκτο περιεχόμενο μπορεί να μεταδοθεί ειδικά για να αποφευχθεί ο έλεγχος.

Εικόνα 19: Επιλογές σάρωσης κακόβουλου λογισμικού

Το επόμενο βήμα είναι να διαμορφώσετε την ενέργεια σε σχέση με την επισκεψιμότητα HTTPS - ελέγξτε το ή όχι, ελέγξτε τα πιστοποιητικά ή όχι.

Εικόνα 20: Ρυθμίσεις επιθεώρησης HTTPS στο Forefront TMG

Επιτρέπουμε στους χρήστες να κάνουν συνδέσεις HTTPS σε ιστότοπους, δεν θα ελέγξουμε αυτήν την επισκεψιμότητα, αλλά θα την αποκλείσουμε εάν το πιστοποιητικό που χρησιμοποιείται δεν είναι έγκυρο.

Ας προχωρήσουμε στις ρυθμίσεις για την προσωρινή αποθήκευση ιστού περιεχομένου που ζητείται συχνά, το οποίο χρησιμοποιείται για την επιτάχυνση της πρόσβασης σε δημοφιλείς ιστότοπους και τη βελτιστοποίηση του κόστους της εταιρείας για την επισκεψιμότητα ιστού.

Εικόνα 21: Διαμόρφωση προσωρινής αποθήκευσης Ιστού

Ανάβω αυτή την επιλογήκαι υποδεικνύουν το χώρο στο δίσκο και το μέγεθός του όπου θα αποθηκευτούν τα δεδομένα που έχουν αποθηκευτεί στην κρυφή μνήμη. Αυτό ολοκληρώνει τη διαμόρφωση των πολιτικών πρόσβασης στον ιστό.

Εικόνα 22: Ολοκλήρωση της ρύθμισης πρόσβασης στο web

Με βάση τα αποτελέσματα της εγκατάστασης και της αρχικής ρύθμισης, θα ήθελα να πω ότι το πρόγραμμα εγκατάστασης σάς επιτρέπει να κάνετε πολύ ευέλικτες ρυθμίσεις Forefront TMG, ένα μάτσο τυπικά κυκλώματαπαρέχονται από το ίδιο το πρόγραμμα εγκατάστασης, μας δίνεται η δυνατότητα επεξεργασίας τους, καθώς και η δυνατότητα δημιουργίας δικές τους συνθήκεςκαι πολιτικές που ανταποκρίνονται πλήρως στις ανάγκες μας.

Λειτουργία Forefront TMG

Τώρα ας δούμε τα εσωτερικά Forefront TMGκαι σύμφωνα με την παράδοση, θα ξεκινήσουμε με τη διεπαφή, η οποία είναι κατασκευασμένη σύμφωνα με την αρχή "δεν θα μπορούσε να είναι πιο απλό". Ολόκληρη η διεπαφή χωρίζεται σε τρεις στήλες, κάθε στήλη περιέχει σαφώς καθορισμένες πληροφορίες που φέρει, οι οποίες μπορούν να χωριστούν σε τρία στοιχεία:

• όνομα κόμβου?
• λειτουργικότητα και στατιστικά στοιχεία της λειτουργίας του·
• εργασίες που μπορούν να εκτελεστούν χρησιμοποιώντας αυτόν τον κόμβο.

Για να γίνει πιο σαφές, ας δούμε την έννοια χρησιμοποιώντας ένα συγκεκριμένο παράδειγμα.

Ένδειξη κατάστασης προστασίας

Εικόνα 23: Πίνακας κατάστασης λειτουργίας Forefront TMG

Στην αριστερή πλευρά βλέπουμε το όνομα του κόμβου - Πίνακας, υποδεικνύεται στο κέντρο διάφορες πληροφορίεςσχετικά με τις ενότητες και τα στατιστικά εργασίας, και στην πιο δεξιά στήλη βλέπουμε μια εργασία που μπορεί να ολοκληρωθεί - Εκσυγχρονίζωκαι θα δούμε αυτή την έννοια επιλέγοντας οποιοδήποτε
κόμβος Forefront TMG, επίσης στη δεξιά (3) στήλη υπάρχει συνήθως βοήθεια σε αυτόν τον κόμβο και τις εργασίες.

Αυτή είναι μια πολύ βολική ιδέα για την κατασκευή μιας διεπαφής, τα πάντα είναι "σε πλήρη θέα" μπροστά στα μάτια μας. Κεφάλαιο Πίνακας- αυτό είναι ένα στιγμιότυπο της περίληψης δραστηριότητας Forefront TMG, που εκτελείται σε πραγματικό χρόνο. Όλες οι σημαντικές πληροφορίες εμφανίζονται σε μία οθόνη, η οποία σας βοηθά να εντοπίσετε και να επιλύσετε γρήγορα προβλήματα.

Έχουμε ήδη εξετάσει το πρώτο μπλοκ, οπότε ας προχωρήσουμε στην ενότητα Παρατήρηση. Στον πυρήνα της, αυτή η ενότητα είναι μια μεταγραφή των γεγονότων που βλέπουμε στην οθόνη Πίνακας.

Παρατήρηση γεγονότων

Εικόνα 24: Παρακολούθηση της τρέχουσας κατάστασης του Forefront TMG

Αυτή η ενότητα χωρίζεται σε πέντε καρτέλες:

• ειδοποιήσεις?
• συνεδρίες?
• ελεγκτές σύνδεσης?
• Υπηρεσίες;
• διαμόρφωση.

Ειδοποιήσεις- αυτό είναι μια αντίδραση Forefront TMGγια μια συγκεκριμένη εκδήλωση. Για ευκολία χρήσης και ευκολία χρήσης, ομαδοποιούνται πανομοιότυπες ειδοποιήσεις. Στο σωστό μπλοκ μας δίνεται η ευκαιρία να διαμορφώσουμε ορισμούς.

Συνεδρίες– λειτουργία παρακολούθησης συνεδρίας Forefront TMGσας επιτρέπει να παρακολουθείτε κεντρικά την κίνηση πελατών σε πραγματικό χρόνο. Είναι δυνατή η αλλαγή του φίλτρου, η παύση και η διακοπή της συνεδρίας παρακολούθησης.

Εικόνα 25: Συνεδρίες παρακολούθησης στο Forefront TMG

Δοκιμαστές σύνδεσης- χρησιμοποιώντας αυτήν τη λειτουργία μπορείτε να παρακολουθείτε τακτικά τις συνδέσεις ενός συγκεκριμένου υπολογιστή ή διεύθυνσης URL σε έναν υπολογιστή Forefront TMG.

Εικόνα 26: Έλεγχος σύνδεσης παρακολούθησης στο Forefront TMG

Υπηρεσίες– λειτουργία παρακολούθησης υπηρεσίας Forefront TMGσε πραγματικό χρόνο. Είναι δυνατό να σταματήσετε και να ενεργοποιήσετε μεμονωμένες υπηρεσίες.

Εικόνα 27: Παρακολούθηση Υπηρεσιών Forefront TMG

Διαμορφώσεις– λειτουργία παρακολούθησης αναπαραγωγής διαμόρφωσης σε κάθε στοιχείο πίνακα σε πραγματικό χρόνο.

Τώρα θα δούμε την ενότητα Πολιτική τείχος προστασίας, όπου μπορείτε να ορίσετε κανόνες πολιτικής τείχους προστασίας για να επιτρέψετε ή να αρνηθείτε την πρόσβαση σε συνδεδεμένα δίκτυα, ιστότοπους και διακομιστές για την προστασία των στοιχείων του δικτύου.

Πολιτικές πρόσβασης στο Διαδίκτυο

Forefront TMGπαρέχει ευέλικτη διαμόρφωση κανόνων και πολιτικών φιλτραρίσματος κυκλοφορίας: προσθήκη ή διαγραφή κανόνων, καθώς και πραγματοποίηση αλλαγών σε υπάρχοντες κανόνες.

Εικόνα 28: Πολιτική τείχους προστασίας στο Forefront TMG

Εικόνα 29: Εργασίες πολιτικής τείχους προστασίας στο Forefront TMG

Κάθε εργασία εκτελείται χρησιμοποιώντας έναν σαφή και προσβάσιμο οδηγό εγκατάστασης.
ΣΕ Forefront TMGυπάρχει ένας νέος κόμβος διαμόρφωσης που ονομάζεται Πολιτική πρόσβασης στο Web.

Φιλτράρισμα διαδικτυακής κίνησης

Αυτός ο κόμβος περιέχει όλες τις ρυθμίσεις για την υπηρεσία web proxy, παραμέτρους για την πρόσβαση του χρήστη σε πόρους του Διαδικτύου μέσω HTTP, HTTPS, FTP-over-HTTP (tunneled FTP), καθώς και παραμέτρους διαμόρφωσης για τη μονάδα για τον έλεγχο της κυκλοφορίας χρήστη για κακόβουλο κώδικα - Επιθεώρηση κακόβουλου λογισμικού.

Εικόνα 30: Πολιτική πρόσβασης στο Web στο Forefront TMG

Στη δεξιά γωνία μπορούμε να δούμε τις εργασίες που μπορούν να εκτελεστούν από αυτόν τον κόμβο. Αυτός ο κόμβος περιλαμβάνει ένα στοιχείο που ελέγχει την κυκλοφορία για κακόβουλο λογισμικό - Επιθεώρηση περιεχομένου κακόβουλου λογισμικού.

Αυτή η λειτουργική μονάδα χρησιμοποιεί το Microsoft Antimalware Engine και σας επιτρέπει να επιθεωρείτε την κυκλοφορία HTTP και τούνελ FTP των υπολογιστών-πελατών διακομιστή μεσολάβησης ιστού.
Επιπλέον, μπορείτε να ελέγξετε την κίνηση ακόμα και εξερχόμενων συνδέσεων HTTPS! Σε αυτήν την περίπτωση, ο χρήστης του οποίου η περίοδος σύνδεσης SSL ελέγχεται από τη μονάδα επιθεώρησης κακόβουλου λογισμικού λαμβάνει μια ειδοποίηση σχετικά με αυτήν τη διαδικασία. Είναι επίσης δυνατό να εξαιρεθούν ορισμένοι ιστότοποι από τη σάρωση.

Εικόνα 31: Ρυθμίσεις μονάδας επιθεώρησης κυκλοφορίας

Κατά τη λήψη αρχείων μεγάλο όγκοΟ χρήστης μπορεί να λάβει πληροφορίες σχετικά με τη διαδικασία ελέγχου των ληφθέντων αρχείων για κακόβουλο κώδικα.

Τώρα θα δούμε τον επόμενο κόμβο, ο οποίος ονομάζεται Πολιτική ηλεκτρονικού ταχυδρομείου.

Φιλτράρισμα email

Forefront TMGλειτουργεί ως αναμετάδοση μεταξύ εσωτερικών διακομιστών SMTP και εξωτερικών διακομιστών SMTP που βρίσκονται εκτός του οργανισμού και εφαρμόζει πολιτικές email στα προωθημένα μηνύματα.

Εικόνα 32: Πολιτική φιλτραρίσματος email Forefront TMG

Οι εργασίες που εκτελούνται από αυτόν τον κόμβο υποδεικνύονται στη δεξιά στήλη, σύμφωνα με την έννοια που συζητήσαμε στην αρχή της ανασκόπησης. Ο επόμενος κόμβος που θα εξετάσουμε είναι Σύστημα αποτροπής εισβολής.

Σύστημα αποτροπής εισβολής (IPS)

Forefront TMGπεριλαμβάνει ένα σύστημα ανίχνευσης εισβολής που βασίζεται σε δίκτυο (N-IDS) που αναπτύχθηκε από τη Microsoft Research και ονομάζεται GAPA. Σε αντίθεση με τη μερική υλοποίηση της λειτουργικότητας του μηχανισμού ανίχνευσης εισβολών δικτύου που χρησιμοποιείται στον ISA Server, το GAPA είναι ένα πλήρες σύστημα N-IDS.

Η Microsoft υπόσχεται ότι υπογράφει επιθέσεις δικτύουγια την επέκταση της λειτουργικότητας του GAPA θα παραδίδεται περιοδικά με τη μορφή πακέτων ενημέρωσης μέσω υπηρεσία MicrosoftΕκσυγχρονίζω.

Εικόνα 33: Σύστημα αποτροπής εισβολής

Η κεντρική στήλη περιέχει τα ονόματα των υπογραφών επίθεσης δικτύου και την προεπιλεγμένη ενέργεια που θα πραγματοποιηθεί. Επίσης σε αυτόν τον κόμβο υπάρχει μια ενότητα Συμπεριφορική ανίχνευση εισβολής, μπορείτε να διαμορφώσετε τις ρυθμίσεις για τον εντοπισμό ύποπτων εισβολών με βάση τα δεδομένα δραστηριότητας δικτύου.

Εικόνα 34: Συμπεριφορική ανίχνευση εισβολής στο Forefront TMG

Αυτή η ενότητα προτείνει τη διαμόρφωση ρυθμίσεων ανίχνευσης για τις πιο συνηθισμένες επιθέσεις.

Εικόνα 35: Διαμόρφωση ανιχνεύσεων εισβολής

Υπάρχει επίσης ανίχνευση επιθέσεων DNS.

Εικόνα 36: Διαμόρφωση κανόνων φιλτραρίσματος (παράμετροι IP)

Εάν είναι απαραίτητο, μπορείτε να ενεργοποιήσετε τον αποκλεισμό θραυσμάτων IP.

Εικόνα 37: Διαμόρφωση ρυθμίσεων πρόληψης επιθέσεων πλημμύρας

ΣΕ Forefront TMGυλοποιείται υποστήριξη για το πρωτόκολλο SIP, καθώς και η λειτουργία VoIP ( Φωνή πάνω IP) NAT Traversal, που επιτρέπει σε αυτόν τον τύπο κίνησης να διέρχεται από πύλες με μια υπηρεσία μετάφρασης διευθύνσεων δικτύου (NAT). Μπορείτε να ορίσετε εξαιρέσεις για διευθύνσεις IP, καθώς και να εκχωρήσετε όρια ΓΟΥΛΙΑ.

Πολιτική απομακρυσμένης πρόσβασης

Εικόνα 38: Πολιτική απομακρυσμένης πρόσβασης στο Forefront TMG

Σε αυτήν την ενότητα μπορείτε να διαμορφώσετε και να προστατέψετε το εικονικό σας ιδιωτικό Δίκτυο VPN, το οποίο επιτρέπει σε δύο υπολογιστές να επικοινωνούν μέσω ενός δημόσιου δικτύου, προσομοιώνοντας μια ιδιωτική σύνδεση σημείου προς σημείο.

ΣΕ Forefront TMGΈχει υλοποιηθεί η υποστήριξη για το πρωτόκολλο SSTP (Secure Socket Tunneling Protocol), το οποίο σας επιτρέπει να διοχετεύετε την κυκλοφορία συνεδρίας VPN εντός του κανονικού πρωτοκόλλου HTTP μέσα σε μια περίοδο λειτουργίας SSL. Αυτός ο μηχανισμός σάς επιτρέπει να δημιουργείτε απρόσκοπτα συνδέσεις VPN ανεξάρτητα από τη διαμόρφωση του τείχους προστασίας, του διακομιστή μεσολάβησης ιστού ή της υπηρεσίας μετάφρασης διευθύνσεων δικτύου. Προς το παρόν, μόνο τα Windows Vista SP1 και Windows Server 2008 υποστηρίζουν αυτήν την τεχνολογία.

Ρυθμίσεις δικτύου

Αυτός ο κόμβος χωρίζεται σε επτά καρτέλες:

• Δίκτυα- η ρύθμιση του περιβάλλοντος δικτύου πραγματοποιείται με τον καθορισμό δικτύων και σχέσεων μεταξύ τους.
• Σύνολα δικτύου- ομαδοποίηση δικτύων σε σύνολα που μπορούν να χρησιμοποιηθούν σε κανόνες Forefront TMG.
• Κανόνες δικτύου– προσδιορίστε την ύπαρξη σύνδεσης μεταξύ δικτύων και τον τύπο της.
• Κάρτες δικτύου– Αυτή η ενότητα παρέχει πληροφορίες σύνδεσης για κάθε εγκατεστημένη κάρτα δικτύου.
• Δρομολόγηση– Παρουσιάζει πληροφορίες για κάθε στατική και ενεργή διαδρομή στο σύστημα.
• Αλυσίδα Ιστού– Για ένα αίτημα πελάτη διακομιστή μεσολάβησης Ιστού, θα πρέπει να δημιουργήσετε τους απαραίτητους κανόνες αλυσίδας ιστού για να προσδιορίσετε τον τρόπο δρομολόγησης τέτοιων αιτημάτων.
• Πλεονασμός IPS– Παρακολούθηση πλεονασμού ISP, σας επιτρέπει να παρακολουθείτε την κατανομή της κίνησης μεταξύ δύο συνδέσεων ISP.

Εικόνα 39: Ρυθμίσεις δικτύου στο Forefront TMG

ΣΕ Forefront TMGλειτουργία που υλοποιήθηκε Πλεονασμός συνδέσμου ISP, το οποίο σας επιτρέπει να οργανώσετε μια σύνδεση με ανοχή σε σφάλματα στο Διαδίκτυο μέσω δύο καναλιών ISP ταυτόχρονα. Επιπλέον, είναι δυνατή τόσο η άμεση δημιουργία αντιγράφων ασφαλείας ενός καναλιού Διαδικτύου όσο και η εξισορρόπηση του φορτίου δικτύου μεταξύ των καναλιών Διαδικτύου. Τέλος, υπάρχει μια ευκαιρία να κατευθύνει ένα συγκεκριμένο κυκλοφορίας δικτύουμέσω συγκεκριμένου καναλιού Διαδικτύου!

Ρυθμίσεις συστήματος

Αυτός ο κόμβος χωρίζεται σε τρεις καρτέλες:

• διακομιστές?
• φίλτρα εφαρμογών?
• φίλτρα ιστού.

Εικόνα 40: Ρυθμίσεις συστήματος στο Forefront TMG

Αυτί Διακομιστέςπαρουσιάζει πληροφορίες για όλους τους διακομιστές στη διαμόρφωση Forefront TMG. Φίλτρα εφαρμογώνπαρέχει ένα πρόσθετο επίπεδο ασφάλειας και μπορεί να εκτελεί εργασίες που αφορούν το πρωτόκολλο και το σύστημα, όπως έλεγχο ταυτότητας και έλεγχο ιών. Φίλτρα Ιστούμπορεί να παρακολουθεί, να αναλύει και να παρακολουθεί δεδομένα που μεταδίδονται μέσω HTTP μεταξύ τους τοπικό δίκτυοκαι το Διαδίκτυο.

Μητρώα και αναφορές

Αυτί Ξύλευση- πληροφορίες σχετικά με συμβάντα που συνέβησαν στον υπολογιστή συλλέγονται εδώ Forefront TMG. Κατά την επιλογή Εκτέλεση αιτήματοςδεδομένα συμβάντων σε πραγματικό χρόνο με λεπτομερή περιγραφή του συμβάντος θα αρχίσουν να εμφανίζονται στο αρχείο καταγραφής.

Στην καρτέλα "Κανω ΑΝΑΦΟΡΑ"δημιουργούνται εκθέσεις εργασίας Forefront TMGμε βάση αρχεία καταγραφής που καταγράφουν τις δραστηριότητες που εκτελούνται στον υπολογιστή. Η αναφορά μπορεί να δημιουργηθεί μία φορά ή να διαμορφωθεί ώστε να δημιουργεί περιοδικές αναφορές.

Εικόνα 41: Αρχεία καταγραφής και αναφορές στο Forefront TMG

Κέντρο ενημέρωσης

Εικόνα 42: Κέντρο ενημέρωσης TMG Forefront

Αυτός ο κόμβος εμφανίζει την κατάσταση των ενημερώσεων της Microsoft που είναι εγκατεστημένες σε αυτόν τον διακομιστή Forefront TMG. Από προεπιλογή, οι ορισμοί ελέγχονται κάθε 15 λεπτά.

Αντιμετώπιση προβλημάτων

Στην καρτέλα Αντιμετώπιση προβλημάτωνχρήσιμοι σύνδεσμοι για υλικά σχετικά με τη συντήρηση και την αντιμετώπιση προβλημάτων που σχετίζονται με Forefront TMG.

Εικόνα 43: Αντιμετώπιση προβλημάτων

Όταν είναι ενεργοποιημένο Αλλαγές κομματιούκαι εφαρμόζεται μια αλλαγή διαμόρφωσης, οι πληροφορίες σχετικά με αυτές τις αλλαγές καταγράφονται ως εγγραφή στο αυτός ο τομέας. Προσομοιωτής κυκλοφορίαςσας επιτρέπει να αξιολογείτε τις πολιτικές τείχους προστασίας με βάση πολλές καθορισμένες παραμέτρους.

Εκτέλεση Συλλογή διαγνωστικών δεδομένωνΣας επιτρέπει να υποβάλετε ερωτήματα στη βάση δεδομένων καταγραφής διαγνωστικών με βάση κριτήρια φίλτρου.
Έλεγχος συνδεσιμότηταςβοηθά να ελέγξετε αν μπορούν οι διακομιστές Forefront TMGσύνδεση σε συγκεκριμένους κόμβους προορισμού
στο διαδίκτυο.

Αυτό ολοκληρώνει την ανασκόπησή μας και το μόνο που μπορούμε να κάνουμε είναι να βγάλουμε τελικά συμπεράσματα και να αξιολογήσουμε το προϊόν:

συμπεράσματα

Το Forefront TMG είναι εξαιρετικά λειτουργικό, ευέλικτο στη διαμόρφωση, εύκολο στην ενσωμάτωση και συμβατό σύγχρονες απαιτήσειςλογισμικό ολοκληρωμένη ασφάλειαεταιρικά δίκτυα. Κατά τη γνώμη μας, η απλότητα και η αποτελεσματικότητα θα παρασύρουν τους εταιρικούς πελάτες προς αυτή τη λύση όταν επιλέγουν προστασία για το εταιρικό τους δίκτυο.

Το Forefront TMG αντιπροσωπεύει μια νέα γενιά συστημάτων ασφαλείας εταιρικών δικτύων πύλης Διαδικτύου, περιλαμβάνει, ίσως, όλες τις απαραίτητες λειτουργίες και στο εγγύς μέλλον θα πρέπει να αντικαταστήσει σοβαρά τον προκάτοχό του Microsoft ISA Server 2006.

Μικρά μειονεκτήματα του Forefront TMG περιλαμβάνουν την έλλειψη συστήματος ποσοστώσεων κυκλοφορίας ( αυτόματη απενεργοποίησηχρήστη όταν εξαντληθεί το όριο) και η έλλειψη σάρωσης προστασίας από ιούς της κίνησης FTP. Ωστόσο, η υποκειμενική μας εκτίμηση για τη λύση Forefront Threat Management Gateway 9 από 10.