Установка клиента TMG. Этап. Установка операционной системы на физический сервер. Минимальные системные требования

Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).

Установку Windows Server в виртуальную машину мы рассматривали в статье:

Так-же нам потребуеться виртуальная машина с настроенным DNS сервером (мы используем Windows Server 2008 R2 с установленным DNS сервером)
и одним внутренним интерфейсом (тип Внутренняя сеть).

После загрузки файла дважды нажмите на нем, откроеться мастер установки:

Ждем пока распакуеться:

После распаковки файлов вы увидите приветственную страницу:

Нажимаем "запустить средство подготовки", откроеться окно:

Принимаем лицензионное соглашение:

Вводим имя пользователя и организацию:

Откроется окно выбора сетевой платы (выбираем плату внутренней сети):

По окончании мастера установки, в открывшемся окне ставим галку "запустить програму управления":

Появиться веб-страничка об успешной установке и окно мастера начальной настройки:

В мастере нажимаем "настройка параметров сети", откроеться мастер настройки сети:

Указываем сетевую плату внутренней сети:

Указываем сетевую плату внешней сети(на скриншоте установлен DNS 192.168.137.1 - это не правильно, DNS-сервер должен быть один на вутренней сети, а сдесь графа DNS-сервера должна быть пустой):

Проверяем правильность:

В открывшемся мастере начальной настройки нажимаем "настройка системных параметров":

В открывшемся мастере пока оставляем все как есть:

Сдесь мы устанавливаем настройки обновления:

Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт:

На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее:

На этом действии работа мастера первоначальной настройки завершена:

Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов:

На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений:

После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG.

Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки:

На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет:

Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик:

Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена:

Все проверяем:

На этом первоначальная настройка завершена.

Microsoft Forefront Threat Management Gateway (TMG) 2010 очень сильно зависит от самых различных служб для поддержания безопасности сети и оптимального быстродействия. Настройка сетевых интерфейсов и в особенности разрешение имен имеет ключевую роль, особенности в случае если TMG настроен как прямой и обратный прокси. В моей практике очень много проблем с TMG были вызваны неправильной настройкой DNS. В этой статье я хотел бы поговорить о настройке сетевых интерфейсов и требований к DNS серверам для правильного разрешения имен в TMG.

Требования к DNS серверам

При выборе DNS сервера в TMG необходимо принять во внимание несколько важных факторов. За очень редким исключением TMG должен быть настроен на использование только внутренних DNS серверов, которые могут резолвить внутреннее пространство адресов а также внешние адреса. Для обеспечения безотказной работы данные DNS сервера должны быть подключены по быстрым соединениям и иметь достаточно ресурсов для успешной обработки всех входящих запросов на разрешение имен. Это целиком зависит от того, как много пользователей подключены к TMG и каким образом они подключены. Клиент веб-прокси и TMG клиент целиком и полностью зависят от TMG в процессе разрешения имен, увеличивая загрузку DNS серверов. Клиенты SecureNAT выполняют разрешение самостоятельно. Если DNS сервера слишком перегружены или между TMG и DNS проблемы с каналами связи, вы можете испытывать самые разнообразные проблемы в работе TMG. Например результатом этого может быть медленная загрузка страниц или запрос на аутентификацию для пользователей, которые должны быть аутентифицировы прозрачно с помощью NTLM или Kerberos.

Конфигурация сетевых интерфейсов

Настройка сетевого интерфейса в TMG c одним сетевым интерфейсом очень проста: IP адрес, маска, шлюз и DNS сервера все настраиваются в локальном интерфейсе. Ситуация несколько усложняется когда имеется несколько сетевых интерфейсов. Если TMG имеет несколько сетевых интерфейсов, то каждый интерфейс должен иметь свой собственный уникальный IP и маску подсети. Однако вне зависимости от того, как много у вас сетевых интерфейсов вы можете иметь только один дефолтный шлюз, причем на внешнем интерфейсе. Никогда не настраивайте шлюз по умолчанию на другом интерфейсе, отличном от внешнего (кроме случая настройки ISP redundancy, при котором оба внешний интерфейса имеют свои собственные шлюзы по умолчанию). С случае необходимости получения доступа к любой удаленной подсети внутри сети или в сети периметра используйте постоянные статические маршруты.

Порядок назначения сетевых интерфейсов

Для TMG c несколькими сетевыми интерфейсами есть ещё одна настройка, про которую очень часто и не обоснованно забывают. Это порядок привязки сетевых интерфейсов. Откройте Network and Sharing Center , нажмите ссылку Change adapter settings . Далее нажмите наAdvanced и Advanced Settings…

Выберите вкладку Adapters and Bindings и убедитесь что внутренний сетевой интерфейс идет первым по списку. Если это не так, выберите его и с помощью стрелочек справа передвиньте на первое место.

Настройка DNS

DNS сервера должны быть указаны только на внутреннем интерфейсе. Не настраиваете DNS на любом другом интерфейсе. Очень частой ошибкой является когда администраторы указывают адреса DNS серверов провайдера на внешнем интерфейсе в дополнение в внутренним DNS серверам, указанным на внутреннем интерфейсе.

Исключение из правила

Существует только один вид развертывания TMG при котором допускается указывание DNS серверов на внешнем интерфейсе. В этом сценарии TMG не является членом домена и не связан с внутренними ресурсами.

Внутренние корневые DNS сервера

В некоторых ситуациях внутрениие DNS сервера не могут резолвить внешние адреса. Это может быть например в случае когда внутренние DNS сервера настроены как корневые сервера для вашего внутреннего простанства имен. Тем не менее требования TMG остаются неизменными. Для его работы требуется возможность резолвинга как внутренних так и внешних адресов.

В данном сценарии вам нужно настроить DNS сервер для TMG для соответствия этим требованиям. Лучшим способом для этого является настройка выделенного кэширующего DNS сервера с настроенной пересылкой.

Полезная информация

sivpk.ru - сайт о выборе и сборке компьютера. Здесь можно прочитать о выборе и составе игрового, мультимедийного и офисного компьютера.

Интересный сайт, на котором есть подробный обзор хостингов и другие интересные статьи по выбору хостинга, инструментах для веб-мастера и многое другое.

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение.

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

• уведомления HTTPS осмотра
• поддержку AD Marker

Стандартные функции TMG клиента

• Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
• Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
• Упрощенная настройка маршрутизации в больших организациях
• Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.

Начните процесс установки и следуйте указаниям мастера.

Рисунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Рисунок 7: Сообщение об использовании осмотра защищенных подключений

Заключение

В этой статье я предоставил вам обзор процесса установки и настройки нового Microsoft Forefront TMG клиента. Я также показал вам некоторые новые функции этого Forefront TMG клиента. На мой взгляд, вам следует использовать TMG клиента в любой возможной среде, поскольку он предоставляет вам дополнительные функции безопасности.

Я планирую создание нового сайта и на этот раз собираюсь использовать Drupal. Ибо WordPress показал себя не очень хорошо на возросших нагрузках. На Drupal создание сайтов так же просто и надежно, а маштабируемость и надежность решения намного выше.

Очень хороший сайт с достойным ассортиментом детских игр:обучающие игры для ребенка , развивающие игры и многое другое.

Большинство сказанного ниже в равной степени относится как к TMG (Threat Management Gateway 2010), так и к ISA 2006.

Многое в этих микрософтовских произведениях можно понять, многое увидеть и разобраться, глядя на графический интерфейс, но некоторые вещи необходимо просто знать, иначе ничего не заработает.

Ресурсов для ТМГ, как и для любого продукта микрософт, требуется несуразно много. ЦПУ — не меньше 4 ядер, больше-лучше, (гипертрейдинг) HT — приветствуется, ОЗУ — не меньше 4 Гб, в нагруженных конфигурациях (до 12 000 клиентов) требуется до 12 Гб. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). В частности, на TMG 2010, к которому подключен 1 клиент, не обращающийся в данный момент к интернету, монитор производительности показал загрузку 2 ЦПУ = 1…5 %, ОЗУ = 2.37 Гб.

Сервер TMG поддерживает 3 способа работы через него:
— Клиент TMG — специальная программа устанавливается на ПК (годится клиент от ISA 2006);
— Клиент Web-proxy — настройка клиентского приложения для работы через прокси;
— Клиент SecureNat — в свойствах TCP/IP в качестве шлюза по умолчанию указан сервер TMG.

Управление доступом на основании учетных записей (AD или на самом TMG 2010) возможно либо с использованием Клиента TMG либо клиентом Web-proxy. Последнее означает, что никакого специального клиента на ПК не ставится, а клиентское приложение умеет работать через прокси-сервер и на нем настроены в качестве proxy-сервера адрес и порт сервера TMG. Клиент SecureNat авторизацию НЕ поддерживает.

Правила доступа на сервер TMG проверяются последовательно сверху вниз. Как только запрос клиента подошел под одно из правил (по трем полям: Protocol, From, To), так просмотр правил прекращается, т.е. остальные — игнорируются. И если запрос не удовлетворяет полю Condition этого правила, то доступ клиенту не предоставляется, несмотря на то, что следом может идти правило, разрешающее такой доступ.

Пример . Пользователь с установленным клиентом ТМГ и шлюзом по умолчанию, настроенным на сервер ТМГ запускает программу Outlook 2010. Учетная запись этого пользователя входит в группу безопасности AD-Internet.

Правило 3 разрешает весь исходящий трафик для пользователей, входящих в группу AD-Internet. Но программа Outlook не сможет связаться с внешним почтовым сервером, потому что с настройками по умолчанию Клиент ТМГ НЕ перехватывает запросы Outlook, а клиент SecureNat не умеет авторизоваться, и не сможет доказать серверу TMG, что его пользователь входит в группу AD-Internet. Однако, почтовый протокол попадает под определение “All Outbound Traffic”, а направление «From: Internal, To:External» соответствует запросу клиента, и поэтому обработка правил прекращается именно на правиле №3.

Если правила 3 и 4 переставить местами, то Outlook работать будет, потому что правило 4 не требует авторизации. Другой способ — в правиле 3 (не перемещая его) ограничить список протоколов, например оставить только HTTP и FTP. Тогда запрос от программы Outlook не “зацепится” за правило 3 и проверка дойдет до правила 4, по которому клиент получит доступ.

Есть еще способ пробиться через правила рис.1. Вернемся к упомянутым выше настройкам по умолчанию . Клиент ТМГ не перехватывает запросы Outlook потому, что в настройках приложений (Application Settings) клиент ТМГ отключен.

В левом дереве консоли управления Forefront TMG узел Networking, в средней части закладка Networks, сеть Internal, на правой панели закладка Tasks, пункт Configure Forefront TMG Client Settings. (На ISA 2006: Configuration — General — Define Firewall Client Settings.)

Если изменить здесь значение с 1 на 0, то Outlook будет работать через ТМГ по правилу доступа №3, приведенному на рис. 1.

А теперь вопрос на засыпку: почему в конфигурации Рис.1 не ходят пинги?

Ответ . Ping соответствует по параметрам (Protocol, From, To) правилу №3, и по этому просмотр правил доступа прекращается именно на правиле №3. Но Ping не умеет авторизоваться, поэтому для него доступ запрещен. Можно, например, над правилом №3 сделать отдельное правило:

Протокол = PING
From = Internal или All Networks
To = External
Users = All Users

Как подключить аудитора (чужака) к Интернету

Предполагается, что у аудитора свой ноут и его в свой домен вводить не будем.

Способ 1 . Задать на его ПК IP-адрес из разрешенного диапазона (требуются права администратора на его ПК).

Способ 2 . В браузере указать Прокси: IP-адрес и порт своего ТМГ. Предварительно на ТМГ сделать локальную учетку и дать её аудитору. Оптичить Basic в вариантах авторизации.

Параметры адаптеров

(в трехзвенной архитектуре):

Int — внутренний (смотрит в локальную сеть), Per — сеть периметра (она же DMZ), Ext (внешний, подключен к интернету непосредственно или через другое оборудование).

Обратите внимание : Отключение ‘File and Print Sharing for Microsoft Networks’ на внутреннем интерфейсе ISA сервера не позволит подключаться к общим папкам (шарам) этого ISA сервера, независимо от системной политики или каких-то других правил доступа. Это рекомендуется для лучшей безопасности, т.к. общим папкам совершенно не место на фаерволе.

Порядок соединений (в окне Network Connections меню Advanced — Advanced Settings — вкладка Adapters and Bindings):
— Int,
— Per,
— Ext.