Instalarea clientului TMG. Filtrarea e-mailurilor. Etapă. Managementul infrastructurii de rețea virtuală

Microsoft Forefront Threat Management Gateway (TMG) 2010 se bazează în mare măsură pe o varietate de servicii pentru a menține securitatea rețelei și performanța optimă. Configurarea interfețelor de rețea și în special a rezoluției numelor joacă un rol cheie, mai ales dacă TMG este configurat ca proxy direct și invers. În practica mea, o mulțime de probleme cu TMG au fost cauzate de setare incorectă DNS. În acest articol, aș dori să vorbesc despre configurarea interfețelor de rețea și a cerințelor serverului DNS pentru rezoluția corectă a numelui în TMG.

Cerințe pentru serverele DNS

Atunci când alegeți un server DNS în TMG, există câteva lucruri de luat în considerare: factori importanți. Pentru un foarte rar cu excepția TMG trebuie configurat să utilizeze numai servere DNS interne care pot rezolva spațiul de adrese interne, precum și adresele externe. Pentru a asigura o funcționare fără probleme, aceste servere DNS trebuie să fie conectate prin conexiuni rapide și să aibă resurse suficiente pentru a procesa cu succes toate solicitările de rezoluție de nume primite. Acest lucru depinde în întregime de câți utilizatori sunt conectați la TMG și de modul în care sunt conectați. Clientul Web Proxy și Clientul TMG depind în întregime de TMG pentru rezoluția numelui, crescând încărcarea pe serverele DNS. Clienții SecureNAT efectuează singuri rezoluția. Dacă serverele DNS sunt prea aglomerate sau între TMG și Probleme DNS cu canalele de comunicare, este posibil să întâmpinați o mare varietate de probleme cu TMG. De exemplu, acest lucru ar putea duce la încărcări lente ale paginilor sau la o solicitare de autentificare pentru utilizatori care ar trebui să fie autentificați transparent folosind NTLM sau Kerberos.

Configurarea interfeței de rețea

Configurarea unei interfețe de rețea în TMG cu o singură interfață de rețea este foarte simplă: adresa IP, masca, gateway-ul și serverul DNS sunt toate configurate în interfața locală. Situația devine ceva mai complicată atunci când există mai multe interfețe de rețea. Dacă TMG are mai multe interfețe de rețea, atunci fiecare interfață trebuie să aibă propriul IP unic și masca de subrețea. Cu toate acestea, indiferent de câte interfețe de rețea aveți, puteți avea doar un singur gateway implicit și pe interfața externă. Nu configurați niciodată un gateway implicit pe o altă interfață decât cea externă (cu excepția cazului în care configurați redundanța ISP, în care ambele în fațăși au propriile lor gateway-uri implicite). Dacă trebuie să obțineți acces la orice subrețea de la distanță din rețea sau din rețeaua perimetrală, utilizați permanent rute statice.

Ordinea de atribuire a interfețelor de rețea

Pentru TMG cu mai multe interfețe de rețea, mai există o setare care este foarte des și nerezonabil uitată. Aceasta este ordinea în care sunt legate interfețele de rețea. Deschis Centrul de rețea și partajare, faceți clic pe link Schimbă setările adaptorului. Apoi faceți clic pe AvansatȘi Setari avansate…

Selectați o filă Adaptoare și legăturiși asigurați-vă că interfața internă de rețea este prima pe listă. Dacă nu este cazul, selectați-l și utilizați săgețile din dreapta pentru a-l muta pe primul loc.

Setări DNS

Serverele DNS trebuie specificate numai pe interfața internă. Nu configurați DNS pe nicio altă interfață. O greșeală foarte frecventă este atunci când administratorii specifică adresele serverelor DNS ale furnizorului de pe interfața externă în plus față de serverele DNS interne specificate pe interfața internă.

Excepție de la regulă

Există un singur tip de implementare TMG care permite specificarea serverelor DNS pe interfața externă. În acest scenariu, TMG nu este un membru al domeniului și nu este asociat cu resurse interne.

Servere DNS rădăcină interne

În unele situații, serverele DNS interne nu pot rezolva adrese externe. Acesta poate fi cazul, de exemplu, când serverele DNS interne sunt configurate ca servere rădăcină pentru spațiul de nume intern. Cu toate acestea, cerințele TMG rămân neschimbate. Funcționarea acestuia necesită capacitatea de a rezolva atât adrese interne, cât și externe.

În acest scenariu, trebuie să configurați serverul DNS pentru TMG pentru a îndeplini aceste cerințe. Cel mai bun mod Acest lucru se realizează prin configurarea unui server DNS de cache dedicat cu redirecționarea configurată.

Informații utile

sivpk.ru - un site despre alegerea și asamblarea unui computer. Aici puteți citi despre selecția și compoziția unui computer pentru jocuri, multimedia și de birou.

Un site interesant care are o recenzie detaliată a găzduirii și altele articole interesante despre alegerea unei găzduiri, instrumente pentru webmasteri și multe altele.

Una dintre caracteristicile Forefront TMG este suportul pentru mai mulți clienți care sunt utilizați pentru a se conecta la Forefront TMG Firewall. Un tip de client este clientul Microsoft Forefront TMG, cunoscut și sub numele de client Winsock pentru Windows. Utilizarea clientului TMG oferă mai multe îmbunătățiri față de alți clienți (proxy web și NAT securizat). Clientul Forefront TMG poate fi instalat pe mai multe sisteme de operare Windows client și server (pe care nu le recomand cu excepția serverelor terminale) care sunt securizate folosind Forefront TMG 2010. Clientul Forefront TMG oferă notificări de verificare HTTPS (utilizate în TMG 2010), automate descoperire, securitate îmbunătățită, suport pentru aplicații și control al accesului pentru computerele client. Când un computer client care rulează clientul Forefront TMG face o solicitare Firewall, cererea este redirecționată către computerul Forefront TMG 2010 pentru procesare ulterioară. Nu este necesară o infrastructură specială de rutare din cauza prezenței procesului Winsock. Clientul Forefront TMG redirecționează în mod transparent informațiile despre utilizator cu fiecare solicitare, permițându-vă să creați o politică de firewall pe computerul Forefront TMG 2010 cu reguli care utilizează acreditările trimise de client, dar numai prin traficul TCP și UDP. Pentru toate celelalte protocoale trebuie să utilizați o conexiune Secure NAT client. Pentru o listă de motive pentru a utiliza clientul TMG, citiți Tom Shinder la www.ISAserver.org:

in afara de asta specificații standard Versiuni anterioare Clienți firewall, clientul TMG acceptă:

• Notificări de inspecție HTTPS
• Suport pentru AD Marker

Caracteristici standard TMG Client

• Politica de firewall bazată pe utilizator sau grup pentru proxy Web și non-Web prin protocoale TCP și UDP (numai pentru aceste protocoale)
• Suportă protocoale complexe fără a fi nevoie de un filtru de aplicație TMG
• Configurare simplificată de rutare pentru organizații mari
• Descoperirea automată a informațiilor bazate pe TMG Setări DNSși server DHCP.

Cerințe de sistem

Clientul TMG are câteva cerințe de sistem:

Sistem de operare acceptat

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Versiuni acceptate de ISA Server și Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Ediție pentru afaceri medii)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Suport sistem de operare

Client/Server – Compatibilitate

Setările clientului TMG pe serverul TMG

Există doar câteva setări pe serverul Forefront TMG care controlează modul în care se comportă clientul Forefront TMG. În primul rând, puteți activa suportul client TMG pentru definiție rețeaua internă pe serverul TMG, așa cum se arată în figura de mai jos.

Figura 1: Setările clientului TMG pe TMG

Odată ce asistența pentru clienți TMG este activată (acesta este valoarea implicită când instalare normală TMG), puteți automatiza și configurarea browserului web calculatoare client. În timpul intervalelor normale de reîmprospătare a clientului TMG sau în timpul pornirii serviciului, browserul primește setările configurate în consola de management TMG.

În setările Aplicații de pe clientul TMG din consola TMG, puteți activa sau dezactiva anumite setări de dependență a aplicației.

Figura 2: Setările clientului TMG

Marcator AD

Microsoft Forefront TMG oferă o nouă caracteristică detecție automată Server TMG pentru clientul TMG. Spre deosebire de versiunile anterioare Clienți firewall Clientul Forefront TMG poate folosi acum jetonul Director activ pentru a găsi serverul TMG corespunzător. Clientul TMG utilizează LDAP pentru a căuta informațiile necesare în Active Directory.

Notă: Dacă clientul TMG nu găsește un token AD, nu va reveni la schema clasică de auto-descoperire prin DHCP și DNS din motive de securitate. Acest lucru se face pentru a reduce riscul unei situații în care un atacator încearcă să forțeze un client să folosească o metodă mai puțin sigură. Dacă conexiunea Active Directory poate fi creată, dar marcatorul AD nu poate fi găsit, clienții TMG revin la DHCP și DNS.

instrumentul TMGAConfig

Pentru a crea o configurație AD Marker în Active Directory, puteți descărca instrumentul TMG AD Config din Centrul de descărcare Microsoft (trebuie să găsiți AdConfigPack.EXE). După descărcarea și instalarea instrumentului pe TMG, trebuie să rulați următoarea comandă în interpret pentru a adăuga cheia de simbol AD ​​la cheia de registry:

Tmgadconfig adaugă „default” type winsock „url http://nameoftmgserver.domain.tld:8080/wspad.dat

De asemenea, puteți elimina marcatorul AD utilizând instrumentul tmgadconfig dacă decideți să nu utilizați suportul pentru Marker AD.

Instalarea clientului TMG

Cea mai recentă versiune a clientului TMG poate fi descărcată de pe site-ul Microsoft. La sfârșitul articolului am oferit link-uri de descărcare.

Începeți procesul de instalare și urmați instrucțiunile expertului.

Figura 3: Instalarea clientului TMG

Puteți specifica locația serverului TMG manual sau automat în timpul procesului Instalatii TMG client. După instalare, puteți reconfigura parametrii mecanismului de detectare în clientul TMG folosind instrumentul setări TMG client, care se află în bara de activități a clientului dvs.

Figura 4: Selectarea unui computer pentru a instala clientul TMG

Detectare automată avansată

Dacă doriți să schimbați comportamentul procesului de autodetecție, clientul TMG are acum o nouă opțiune pentru a configura metoda de autodetecție.

Figura 5: Detectare automată avansată

Notificări de inspecție HTTPS

Microsoft Forefront TMG are optiune noua inspecția traficului HTTPS pentru conexiunile client de ieșire. Pentru a informa utilizatorii despre acest proces, noul client TMG poate fi utilizat pentru a informa utilizatorii că conexiunile HTTPS de ieșire sunt inspectate dacă aveți nevoie. Administratorii TMG au, de asemenea, opțiunea de a dezactiva procesul de notificare central de pe serverul TMG, sau manual pe fiecare client Forefront TMG. Pentru Informații suplimentare citiți despre configurarea inspecției traficului HTTPS de ieșire următorul Tom Shindera

Figura 6: Inspectarea conexiunilor securizate

Dacă inspecția conexiunii HTTPS de ieșire este activată și opțiunea de a notifica utilizatorii despre acest proces este, de asemenea, activată, utilizatorii care au clientul Forefront TMG instalat pe computerele lor vor primi un mesaj similar cu cel prezentat în figura de mai jos.

Acest material este aplicație practică doua tehnologii specifice: Microsoft Hyper-Vși Microsoft Forefront Threat Management Gateway, care sunt oferite de Microsoft.

Date tehnice.

În cadrul proiectului există UN server fizic cu două plăci de rețea care suportă tehnologia de virtualizare. În cadrul acestui articol, este necesar să se rezolve problema implementării unei zone demilitarizate (DMZ) într-o rețea virtuală.

Înainte de a instala toate produsele software, trebuie să citiți regulile de licențiere, care vă vor permite să calculați costul deținerii software-ului. Acordul de licență Microsoft este actualizat regulat și este întotdeauna disponibil pe site-ul web Microsoft.

Etapa 1. Instalarea sistemului de operare pe un server fizic.

Microsoft oferă 2 opțiuni de virtualizare:

1. C utilizare hypervisor Microsoft Hyper-V™ Server 2008.
   
2. C Utilizarea rolului de server Hyper-V în Microsoft Windows 2008 R2 Server.
   

Ca parte a acestui articol, vom prezenta o opțiune care utilizează rolul de server Hyper-V.

Folosind Hypervisor Microsoft Hyper-V™ Server 2008.

Microsoft a lansat un produs care vă permite să transformați un server fizic într-un server de mașină virtuală fără a instala un sistem de operare (de fapt, sistemul de operare este instalat, dar este specializat pentru virtualizare). Produsul se numește Microsoft Hyper-V Server.

Pentru a-l administra, trebuie să utilizați shell-ul Hyper-V Manager, care poate fi instalat în operare sisteme Windows 7 și Windows Vista sau aveți cunoștințe despre utilizarea Powershell.

Hypervizorul Microsoft Hyper-V Server 2008 oferă posibilitatea de a utiliza tehnologia de virtualizare GRATUIT, dar necesită cunoștințe și abilități specializate pentru întreținere și utilizare echipament adițional, cum ar fi unitățile de bandă sau sistemele de stocare a datelor.

Utilizarea rolului de server Hyper-V ca parte a Microsoft Windows 2008 R2 Server.

În sala de operație sisteme Microsoft Windows 2008 R2 are un rol Hyper-V care oferă posibilitatea de a crea mașini virtuale. În același timp, pe un server fizic este posibil să se utilizeze un sistem de operare cu drepturi depline, care va oferi administratorilor libertatea de acțiune necesară.

Mai multe informații despre instalarea hypervisorului Microsoft Hyper-V™ Server și a rolului Hyper-V pot fi găsite pe site-ul web www.microsoft.ru.

Etapa 2. Managementul infrastructurii de rețea virtuală.

În ciuda faptului că serverul este fizic, este posibil să nu atribuiți adrese de rețea plăcilor de rețea fizice, ceea ce va asigura securitatea server fizic. Cu toate acestea, lipsa conexiune retea La retea locala exclude administrare la distanță server pe care este instalat rolul Hyper-V. De obicei, pentru administrarea serverului, este atribuită o adresă IP de acces din rețeaua internă.

Atribui adresă de rețea pe o placă de rețea conectată la Internet nu este recomandat, deoarece nu există mijloace care să asigure protecția completă a serverului fizic.

Cel mai bine este să configurați infrastructura de rețea actuală pe serverul de virtualizare. Deoarece infrastructura de rețea luată în considerare este o infrastructură cu trei picioare (Internă - DMZ - Extern), este necesar să se creeze trei rețele, dintre care două vor fi alocate fizic unor adaptoare de rețea diferite, iar a treia va fi virtuală - pentru cei demilitarizați. zona. Acest lucru se face prin „Virtual Network Manager”, așa cum se arată în Figura 1.

În fereastra „Virtual Network Manager”, selectați „Creare rețea virtuală" Selectați tipul „Extern” și faceți clic pe „Adăugați”. Procesul de creare a rețelei este prezentat în Fig. 2.

Ca parte a infrastructurii care se creează, trebuie să creăm 3 tipuri de rețele: două rețele externe cu conexiuni la adaptoare diferite (conexiune la rețeaua internă și conexiune la furnizor) și una rețea privată de la mașini virtuale (conectând servere DMZ). Ca rezultat, vom obține trei rețele (Fig. 3.)

Etapa 3. Crearea de mașini virtuale.

Când creați mașini virtuale situate în zona demilitarizată, trebuie să specificați adaptorul Virtual DMZ creat. Poarta de acces implicită va fi server Microsoft Forefront Threat Management Gateway. Configurație și volum hard disk-uri selectate pe baza sarcinilor atribuite serverului.

Pentru a crea mașină virtuală trebuie să faceți clic dreapta pe serverul Hyper-V, selectați „Creare – Virtual Machine”. După care se va deschide o fereastră de invitație.

În fereastra „Specificați numele și locația”, trebuie să determinați numele și locația fișierului de configurare a serverului virtual (Fig. 4.).

În fereastra „Alocați memorie” (Fig. 5), trebuie să selectați dimensiunea memorie cu acces aleator. Pentru Microsoft Forefront Threat Management Gateway Cerințe minime Sunt necesare 2 GB de RAM.

În fereastra „Setări de rețea”, selectați o conexiune la rețeaua internă (Virtual Internal).

În fereastra „Conectare”. virtual hard disc" trebuie să selectați "Creați un virtual HDD" Specificați dimensiunea (pentru Microsoft Windows 2008 R2, cel puțin 11 GB) (Fig. 7).

În fereastra „Opțiuni de instalare”, selectați „Instalare sistem de operare mai târziu” și faceți clic pe „Următorul” (Fig. 8).

După fereastra „Rezumat”, faceți clic pe „Terminare”.

Înainte de a trece la Instalare Windows 2008 R2 Server trebuie să accesați setările mașinii virtuale FOREFRONT. Click dreapta Faceți clic pe mașina virtuală - Setări...

Și în fereastra „Setări pentru FRONT”.

În fereastră, selectați „Instalare hardware” – „ Adaptor de retea" și faceți clic pe "Adăugați". Adăugați cele două adaptoare rămase, Virtual Internet și Virtual DMZ. După adăugare, configurația computerului va arăta astfel:

După aceea, trecem la instalarea Microsoft Windows 2008 R2 Server.

Etapa 4. Instalarea Microsoft Windows 2008 R2 Server.

Să începem să instalăm Windows 2008 R2 Server. Aceasta necesită o imagine de disc. Poate fi descărcat de pe site-ul Microsoft. Pe site-ul www.microsoft.ru puteți găsi un hard disk pentru mașini virtuale și îl puteți înlocui cu cel pe care l-am creat mai devreme.

În „Controller 1 IDE” setați „Fișier imagine” și specificați locația fișierului imagine.

Să pornim mașina virtuală.

Apoi puteți trimite instalarea implicită a Microsoft Windows 2006 R2 și Microsoft ForeFront Threat Management Gateway. Identificăm adaptoarele de rețea și atribuim adrese IP în funcție de configurația rețelei. ATENŢIE! Un singur Gateway implicit poate fi definit pe un computer. De obicei, este atribuit gateway-ului implicit al furnizorului.

Etapa 5. Configurarea Microsoft Forefront Threat Management Gateway.

După lansarea inițială, va apărea fereastra „Started Wizard”. De asemenea, îl puteți lansa prin „Launch Getting Started Wizard”

În setările „Selectare șablon de rețea”, selectați „Perimetrul cu 3 picioare”, care vă va permite să limitați și să creați un DMZ. Faceți clic pe „Următorul”.

În fereastra „Setare rețea locală (LAN)”, selectați adaptorul de rețea care este conectat la rețeaua locală internă.

În fereastra „Setări Internet”, selectați adaptorul de rețea conectat la furnizor.

În fereastra „Setarea rețelei perimetrale”, determinăm adaptorul de rețea conectat la serverele din DMZ. Apoi, trebuie să selectați tipul de încredere pentru această rețea. Poate fi fie Public, când rutarea fără utilizarea NAT va fi configurată pe serverele situate în DMZ, fie Private, când rutarea va fi configurată folosind NAT. Acest mod va fi determinat de nivelul de încredere în rețeaua DMZ. Modul privat vă va proteja complet rețeaua de vizibilitatea din DMZ, dar pot apărea probleme la configurarea regulilor de acces.

Acest articol a arătat cum puteți configura un perimetru cu 3 picioare. Din păcate, în cadrul acestui articol este imposibil de arătat personalizare completă Microsoft Forefront Threat Management Gateway pentru organizații, deoarece fiecare organizație va avea propriile reguli de acces și relații între rețele și utilizatori, care sunt descrise în politica de securitate.

Vasiliev Denis

Publicat la 13 februarie 2009 de · Un comentariu

Dacă nu ați auzit încă, ISA Firewall este eliminat treptat. Versiunea finală a ISA Firewall va fi ISA 2006. Cu toate acestea, acest lucru nu înseamnă că software-ul ISA pe care am ajuns să-l iubim de-a lungul anilor nu va mai exista. Deși marca ISA va cădea în coșul de gunoi al istoriei, vom vedea următoarea versiune ISA Firewall cu un nou nume: Forefront Threat Management Gateway (gateway de gestionare a amenințărilor externe).

Există mai multe motive pentru care numele ISA nu mai este utilizat. Dar poate că motivul principal este că publicul pare să aibă probleme în a înțelege din nume ce este ISA Firewall. Unii credeau că este doar un server proxy web (în spiritul Proxy 2.0), alții credeau că este doar un alt firewall, alții credeau că este un server VPN, alții credeau că este un fel de Frankenstein sau nu înțelegeau absolut nimic . Noul nume ar trebui să aducă mai multă atenție Forefront TMG și, așa cum speră compania, va permite oamenilor să înțeleagă scopul principal al acestui produs.

În acest articol, vă voi ghida prin procesul de instalare. Cu toate acestea, înainte de a instala TMG, trebuie să știți următoarele:

• TMG va rula numai pe Windows Server 2008 pe 64 de biți. Odată ce versiunea RTM este lansată, va exista o versiune demonstrativă pe 32 de biți a TMG, dar nu vor exista versiuni beta pentru Windows pe 32 de biți.
• TMG necesită cel puțin 1 GB de memorie (probabil va funcționa cu mai puțină memorie, dar va fi foarte lent)
• 150 MB spațiu liber pe disc
• Cel puțin o placă de rețea (deși recomand întotdeauna două sau mai multe adaptoare de rețea pentru o mai mare fiabilitate)
• Trebuie să instalați folder standard a conduce C:
• TMG va instala IIS 7 pe computerul dvs. pentru a suporta SQL Reporting Services. Dacă eliminați TMG din aparat, II7 nu va fi eliminat automat, așa că va trebui să o faceți manual
• Serviciile și fișierele driver pentru TMG sunt instalate în folderul de instalare TMG
• Pentru versiunea beta 1 a TMG, mașina TMG trebuie să facă parte dintr-un domeniu. Versiunile beta viitoare vor accepta mașini care nu aparțin unor domenii.

În această serie de articole (ar trebui să o facem în două părți) instalez TMG pe mașină Windows Server 2008 Enterprise rulează ca o mașină virtuală (VM) pe VMware Virtual Server 1.0. VM are două interfețe: o interfață este conectată printr-o punte la rețea externăși va funcționa ca interfață externă, iar a doua interfață este situată pe VMNet2, care va fi interfața implicită de rețea internă. Rețineți că modelul de rețea pentru TMG nu sa schimbat față de configurația utilizată de ISA Firewall.

TMG este unul dintre elementele software incluse în colecția de produse Forefront Stirling. Le puteți descărca pe toate sau doar TMG. TMG va funcționa foarte bine fără Stirling, dar Stirling este cu siguranță ceva la care veți dori să vă uitați în viitor.

Faceți dublu clic pe fișierul pe care l-ați descărcat. Veți vedea o pagină de bun venit Bine ați venit la Expertul de instalare Forefront Threat Management Gateway. Clic Mai departe.

Poza 1

Instalați fișierele în locația implicită, care va fi . Clic Mai departe.

Figura 2

Fișierele vor fi extrase în acest folder.

Figura 3

Clic Complet când procesul de extracție este încheiat.

Figura 4

Accesați folderul C:\Program Files (x86)\Microsoft ISA Serverși faceți dublu clic pe fișier ISAAutorun.exe.

Figura 5

Se va deschide o casetă de dialog Configurare de evaluare Microsoft Forefront TMG 270 de zile. Apasa pe link Instalați Forefront TMG.

Figura 6

Aceasta va afișa fereastra de bun venit a asistentului de instalare Bun venit la Expertul de instalare pentru Microsoft Forefront Threat Management Gateway. Clic Mai departe.

Figura 7

Pe pagina Acord de licențiere selectați opțiunea Accept termenii acordului de licențăși apăsați Mai departe. Vă rugăm să rețineți că acordul de licență conține încă vechiul nume de cod al produsului Azot.

Figura 8

Pe pagina Informații pentru consumatori introduceți Nume de utilizatorȘi Organizații. Număr de serie produs va fi deja introdus pentru dvs. Clic Mai departe.

Figura 9

Aici găsim o nouă opțiune de instalare care nu era disponibilă în versiunile anterioare ale produsului. Pe pagina Scenarii de instalare Aveți opțiunea de a instala Forefront TMG sau doar TMG Management Console. În acest exemplu, vom instala produsul complet, așa că vom selecta Instalați Forefront Threat Management Gatewayși apăsați Mai departe.

Figura 10

Pe pagina Selectarea componentelor ai optiunea de a instala software TMG Firewall, TMG Management Console și CSS. Da, ai ghicit. Nu mai există versiuni Standard și Enterprise ale paravanului de protecție ISA. TMG va fi vândut ca o singură ediție, iar acea ediție unică folosește CSS, chiar dacă aveți o matrice TMG cu un singur membru. Cu toate acestea, veți putea crea matrice folosind TMG, dar această caracteristică nu este disponibilă în versiunea beta a TMG și va fi disponibilă numai în versiunile beta viitoare.

ÎN în acest exemplu vom instala toate componentele în folderul implicit. Clic Mai departe.

Figura 11

Se pare că am o problemă. Deși mașina face parte dintr-un domeniu, am uitat să mă autent cu un nume de utilizator care aparține domeniului. Pentru a instala TMG, trebuie să vă conectați ca utilizator care are drepturi de administrator local pe computerul TMG.

Figura 12

Se pare că va trebui să repornesc instalarea. Vom continua de unde am rămas, după ce mă deconectez din sistem, mă voi autentifica din nou sub cel dorit contși reporniți procesul de instalare.

Figura 13

Acum că m-am conectat ca utilizator de domeniu cu drepturi de administrator local, vom continua procesul de instalare din pagină Rețea internă. Dacă ați instalat ISA Firewall, veți recunoaște această pagină deoarece este similară cu cea folosită în versiunile anterioare ale ISA Firewall. Aici specificați rețeaua internă implicită. În cele mai multe cazuri, trebuie să selectați opțiunea Adăugați adaptorul deoarece aceasta va determina rețeaua dumneavoastră internă implicită pe baza tabelului de rutare configurat pe ISA Firewall. Cu toate acestea, nu știu dacă modificarea configurației tabelului de rutare pe ISA Firewall ar schimba automat definiția rețelei interne implicite. Pun pariu cu douăzeci și cinci de dolari că nu, dar vom verifica pe viitor.

Figura 14

Pagină Rețea internă arată definiția implicită a rețelei interne. Clic Mai departe.

Figura 15

Pagină Alertă de service vă informează că serviciu SNMP, Serviciul de administrare IIS, Serviciul de publicare World Wide WebȘi Serviciul Microsoft Manager operațiuni va fi repornit în timpul procesului de instalare. Probabil că nu ați instalat încă rolul Server Web pe această mașină, așa că nu trebuie să vă faceți griji cu privire la Serviciul de administrare IIS și Serviciul de publicare World Wide Web, dar ar trebui să fiți conștient de repornirea serviciului SNMP și Microsoft Operation Manager. Rețineți, TMG va instala și configura IIS 7 pentru dvs.

Figura 16

Clic Instalare Pe pagina Expertul este gata să instaleze programul.

Figura 17

Bara de progres va afișa starea instalării. Aici puteți vedea cum este instalat CSS-ul.

Figura 18

S-a întâmplat! Pagină Expertul de instalare s-a încheiat indică faptul că procesul de instalare s-a încheiat cu succes. Bifați caseta de lângă linie Lansați Forefront TMG Management după finalizarea instalării. Clic Complet.

Figura 19

Pe în această etapă veți vedea o pagină web Protejați serverul Forefront TMG. Aici vi se oferă informații despre activarea Microsoft Update, rularea ISA BPA și citirea secțiunii Protectie si siguranta fișier de ajutor. Până acum pot spune un lucru despre fișierul de ajutor, au făcut producătorii buna treaba pentru a-și actualiza conținutul. Conține mult mai multe informații și informații mult mai apropiate conditii reale instalarea inclusă în fișierul de ajutor nou și îmbunătățit. Vă recomand să petreceți puțin timp citindu-l. Vă garantez că, dacă sunteți un administrator experimentat ISA Firewall, fișierul de ajutor TMG vă va învăța multe.

Figura 20

După finalizarea instalării inițiale, se va deschide un nou expert. Expertul de pornire. Asistentul de pornire este o caracteristică nouă care este doar TMG și nu era disponibilă în versiunile anterioare ale ISA Firewall. Include trei vrăjitori de bază și un al patrulea opțional, pe care îl vom analiza după ce ne vom ocupa de primii trei.

Primul maestru este Expert Setări de rețea. Urmați acest link Configurați setările de rețea Pe pagina Expertul de pornire.

Figura 21

Pe pagina Bun venit la Expertul de configurare a rețelei clic Mai departe.

Figura 22

Pe pagina Selectarea șabloanelor de rețea selectați șablonul de rețea pe care doriți să îl aplicați la TMG. Acestea sunt aceleași șabloane de rețea care au fost utilizate în versiunile anterioare ale ISA Firewall. Faceți clic pe fiecare opțiune și citiți informațiile afișate în partea de jos a paginii.

În acest exemplu, vom folosi șablonul nostru preferat, care este șablonul Firewall Edge. Clic Mai departe.

Figura 23

Pe pagina Setări pentru rețeaua locală (LAN). Vi se oferă posibilitatea de a configura informațiile de adresare IP pentru interfața LAN. Mai întâi selectați NIC ( card LAN), pe care doriți să faceți interfața LAN pe ISA Firewall făcând clic meniu de navigatie pe linie Adaptor de rețea conectat la LAN. Informațiile de adresare IP pentru acest NIC vor apărea automat. Aici puteți modifica informațiile de adresare IP. De asemenea, puteți crea rute statice suplimentare făcând clic pe butonul Adăuga.

Chiar nu știu ce modificări de pe această pagină ar fi potrivite pentru a defini rețeaua internă implicită. Să presupunem că am decis să configurez rețeaua internă implicită la 10.0.0.0-10.0.0.255 și apoi am decis să schimb adresa IP pe interfața internă de pe această pagină, astfel încât să ajungă la un ID de rețea diferit. Se va schimba definiția implicită a rețelei interne? Ce se întâmplă dacă adaug o rută statică pe interfața internă TMG? Se va reflecta această schimbare în definiția implicită a rețelei interne? Nu știu, dar voi face niște cercetări în viitor.

Nu voi face nicio modificare în această pagină, deoarece am configurat deja backend-ul și informatie necesara adresare IP. Clic Mai departe.

Figura 24

Pe pagina optiuni de internet Puteți configura informațiile de adresare IP pentru interfața externă a paravanului de protecție TMG. Ca și în pagina anterioară, selectați NIC-ul pe care doriți să îl faceți ca front-end selectând linia din meniul de navigare Adaptor de rețea conectat la Internet. Aici puteți modifica și informațiile de adresare IP. Deoarece am configurat deja interfața externă și informațiile despre adresa IP, nu voi face nicio modificare aici. Clic Mai departe.

Figura 25

Pe pagina Finalizarea expertului de configurare a rețelei arată rezultatele modificărilor efectuate. Clic Complet.

Figura 26

Veți fi dus înapoi la pagină Expertul de pornire. Următorul maestru este Expert Setări sistem. Urmați acest link Configurați setările sistemului.

Figura 27

Figura 28

Pe pagina Identificarea gazdei veți fi întrebat despre numele gazdei și afilierea domeniului firewall-ului TMG. În acest exemplu, expertul a determinat automat numele de gazdă al mașinii, adică TMG2009. De asemenea, comandantul a stabilit că mașina aparține domeniului. Cred că acest expert vă va permite să vă alăturați domeniului dacă nu ați făcut-o deja sau să părăsiți domeniul dacă doriți. De asemenea, dacă mașina îi aparține grup de lucru, vei avea posibilitatea de a intra DNS primar un sufix pe care paravanul de protecție ISA îl poate folosi pentru a vă înregistra domeniul DNS dacă aveți DDNS activat și nu aveți nevoie de actualizări DDNS de încredere.

Deoarece am configurat deja această mașină ca membru al domeniului, nu trebuie să fac nicio modificare pe această pagină. Clic Mai departe.

Figura 29

Asta e pentru lucru cu Expertul de configurare a sistemului terminat. Clic Complet pe pagina de finalizare a vrăjitorului Finalizarea asistentului de configurare a sistemului.

Figura 30

Mai avem încă un master pe pagină Expertul de pornire. Urmați acest link Definiți opțiunile de instalare.

Figura 31

Figura 32

Pe pagina Configurarea Microsoft Update ai optiuni? Utilizați Microsoft Update pentru a căuta actualizăriȘi Nu vreau să folosesc Microsoft Update Service. Vă rugăm să rețineți că TMG utilizează Microsoft Update nu numai pentru a actualiza sistemul de operare și software-ul firewall TMG, ci și pentru a verifica dacă există programe malware și face acest lucru de mai multe ori pe zi (în mod implicit, la fiecare 15 minute). Deoarece unul dintre principalele avantaje ale utilizării Microsoft Firewall față de alte firewall-uri este caracteristica excelentă de actualizare automată, vom merge mai departe și vom folosi site-ul Microsoft Update. Clic Mai departe.

Figura 33

Pe pagina Definirea opțiunilor de actualizare specificați dacă doriți firewall-ul TMG căutat și instalat, doar cautati sau nu a facut nimic pentru a actualiza scanarea malware. De asemenea, puteți seta frecvența de inspecție, care este implicită la fiecare 15 minute. Dar îl puteți seta să descarce actualizări o dată pe zi și apoi să configurați ora din zi când sunt instalate actualizările respective. Clic Mai departe.

Figura 34

Pe pagina Părere cu consumatorul Puteți specifica dacă doriți să furnizați informații anonime către Microsoft despre configurația dvs. hardware și despre modul în care este utilizat produsul. Nicio informație partajată cu Microsoft nu poate fi utilizată pentru a vă determina identitatea și nicio informație personală nu este partajată cu Microsoft. Cred că trebuie să-mi furnizez numele, data nașterii, numărul asigurări sociale, numărul permisului de conducere și adresa băncii mele și am încredere în Microsoft mult mai mult decât în ​​banca mea, având în vedere cerințele pentru bănci de a raporta informații guvernului federal. Prin urmare, partajarea acestor informații tehnice cu Microsoft nu prezintă niciun risc și ajută Microsoft să-și facă produsele mai stabile și mai fiabile. Selecteaza o optiune Da, aș dori să particip anonim la programul de îmbunătățire a experienței clienților (recomandat).

Figura 35

Pe pagina Serviciu Telemetria Microsoft Puteți personaliza nivelul de membru al serviciului de telemetrie Microsoft. Microsoft Telemetry ajută la protejarea împotriva programelor malware și a accesului neautorizat, oferind companiilor informații despre potențialele atacuri, pe care Microsoft le folosește pentru a ajuta la identificarea tipului de atac și pentru a îmbunătăți acuratețea și eficacitatea atenuării amenințărilor. În unele cazuri, informațiile personale pot fi trimise din neatenție către Microsoft, dar Microsoft nu va folosi aceste informații pentru a vă determina identitatea sau pentru a vă contacta. Este dificil să stabilesc exact ce informații personale pot fi trimise, dar din moment ce am ajuns să am încredere în Microsoft, voi selecta opțiunea Alăturați-vă cu un nivel crescut de afiliere. Clic Mai departe.

Figura 36

Pe pagina Finalizarea asistentului de instalare sunt afișate opțiunile pe care le-ați selectat. Clic Complet.

Figura 37

Asta e tot! Am terminat de lucrat cu maestrul Expertul de pornire. Dar asta nu înseamnă că s-a terminat. Dacă bifați opțiunea Lansați Web Access Wizard, apoi se va deschide fereastra acestui expert. Să verificăm această opțiune și să vedem ce se întâmplă.

Figura 38

Se va deschide fereastra de bun venit a vrăjitorului. Bine ați venit la Expertul politicii de acces web. Pentru că asta Metoda noua creând o politică de firewall TMG, cred că vom aștepta până la următoarea parte pentru a analiza acest vrăjitor în detaliu. Se pare că TMG vă va permite să configurați politicile de acces web puțin diferit față de versiunile anterioare ale ISA Firewall, așa că vom dedica următoarea parte acestui lucru.

Figura 39

Acum că instalarea este completă, avem noua consola. Dacă te uiți la panoul din stânga al consolei, vei vedea că nu există absolut nicio filă, ceea ce face navigarea puțin mai ușoară. Vedem și noi filă nouă Centru de actualizare. De aici puteți obține informații despre actualizările serviciului anti-malware TMG și puteți afla când au fost instalate aceste actualizări.

Figura 40

După finalizarea procesului de instalare, am constatat că au apărut unele erori. Dar acest lucru se datorează probabil faptului că TMG nu a funcționat deloc după instalare. Am reușit să rezolv această problemă repornind computerul. Nu sunt sigur dacă acest lucru s-a datorat instalării paravanului de protecție TMG server virtual VMware, sau cu faptul că aceasta este o versiune beta.

Figura 41

Acordând atenție la Sarcini primare de configurare, este posibil să observați că mai multe roluri și servicii au fost instalate pe acest computer ca parte a instalării TMG. Aceasta include:

rezumat

În acest articol, ne-am uitat la procesul de instalare a paravanului de protecție TMG. Au fost câteva modificări aici în comparație cu versiunile anterioare ale ISA Firewall, dar nimic extraordinar. Acest lucru este normal, instalarea nu este un proces de la care vă așteptați la ceva uimitor. Am văzut câteva îmbunătățiri grozave ale procesului de instalare care oferă o flexibilitate suplimentară în timpul instalării.

Dacă petreceți puțin mai mult timp uitându-vă la software-ul firewall TMG după instalare și nu găsiți niciuna dintre caracteristicile pe care v-ați așteptat să le găsiți, nu vă faceți griji. Aceasta este o versiune beta foarte timpurie și cred că este departe de a fi completă. Știu că au existat cereri pentru zeci de alte funcții când a fost lansat ISA 2000 Deși uneori primele impresii sunt de durată, nu vreau să fiu motivul pentru prima ta impresie despre TMG. Amintiți-vă, aceasta este doar prima versiune beta, așa că așteptați-vă la o mulțime de opțiuni și funcții noi în viitor, care vă pot face fericit. Mulțumesc!

Zilele trecute am fost nedumeriți și am decis să transferăm toți utilizatorii la proxy în TMG. Am decis să încerc acest proces pe o mașină virtuală.

Caracteristici standard TMG Client

• Politica de firewall bazată pe utilizator sau grup pentru proxy Web și non-Web prin protocoale TCP și UDP (numai pentru aceste protocoale)
• Suportă protocoale complexe fără a fi nevoie de un filtru de aplicație TMG
• Configurare simplificată de rutare pentru organizații mari
• Descoperirea automată a informațiilor TMG pe baza setărilor serverului DNS și DHCP.

Cerințe de sistem

Clientul TMG are câteva cerințe de sistem:

Sistem de operare acceptat

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Versiuni acceptate de ISA Server și Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Ediție pentru afaceri medii)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Setările clientului TMG pe serverul TMG

Există doar câteva setări pe serverul Forefront TMG care controlează modul în care se comportă clientul Forefront TMG. În primul rând, puteți activa suportul pentru client TMG pentru a defini rețeaua internă pe serverul TMG, așa cum se arată în figura de mai jos.

Figura 1: Setările clientului TMG pe TMG

Odată ce asistența pentru clienți TMG este activată (acesta este valoarea implicită într-o instalare tipică TMG), puteți, de asemenea, să automatizați configurarea browserului web pe computerele client. În timpul intervalelor normale de reîmprospătare a clientului TMG sau în timpul pornirii serviciului, browserul primește setările configurate în consola de management TMG.

În setările Aplicații de pe clientul TMG din consola TMG, puteți activa sau dezactiva anumite setări de dependență a aplicației.

Marcator AD

Microsoft Forefront TMG oferă o nouă caracteristică pentru a detecta automat un server TMG pentru un client TMG. Spre deosebire de versiunile anterioare ale clienților Firewall, clientul Forefront TMG poate folosi acum un marcator în Active Directory pentru a găsi serverul TMG corespunzător. Clientul TMG utilizează LDAP pentru a căuta informațiile necesare în Active Directory.

Notă: Dacă clientul TMG nu găsește un token AD, nu va reveni la schema clasică de auto-descoperire prin DHCP și DNS din motive de securitate. Acest lucru se face pentru a reduce riscul unei situații în care un atacator încearcă să forțeze un client să folosească o metodă mai puțin sigură. Dacă conexiunea Active Directory poate fi creată, dar marcatorul AD nu poate fi găsit, clienții TMG revin la DHCP și DNS.

instrumentul TMGAConfig

Pentru a crea o configurație AD Marker în Active Directory, puteți descărca instrumentul TMG AD Config din centru Descărcări Microsoft Centru de descărcare (trebuie să găsiți AdConfigPack.EXE). După descărcarea și instalarea instrumentului pe TMG, trebuie să rulați următoarea comandă în interpret pentru a adăuga cheia de simbol AD ​​la cheia de registry:

Tmgadconfig adaugă url „default” de tip winsock „http://nameoftmgserver.domain.tld:8080/wspad.dat

De asemenea, puteți elimina marcatorul AD utilizând instrumentul tmgadconfig dacă decideți să nu utilizați suportul pentru Marker AD.

Instalarea clientului TMG

Cea mai recentă versiune a clientului TMG poate fi descărcată de pe site-ul Microsoft.

Începeți procesul de instalare și urmați instrucțiunile expertului.

Figura 3: Instalarea clientului TMG

Puteți specifica locația serverului TMG manual sau automat în timpul procesului de instalare a clientului TMG. După instalare, puteți reconfigura setările motorului de detectare în clientul TMG utilizând Instrumentul de configurare a clientului TMG, care se află în bara de activități a clientului dvs.

Figura 4: Selectarea unui computer pentru a instala clientul TMG

Detectare automată avansată

Dacă doriți să schimbați comportamentul procesului de autodetecție, clientul TMG are acum o nouă opțiune pentru a configura metoda de autodetecție.

Figura 5: Detectare automată avansată

Notificări de inspecție HTTPS

Microsoft Forefront TMG are o nouă caracteristică pentru inspectarea traficului HTTPS pentru conexiunile client de ieșire. Pentru a informa utilizatorii despre acest proces, noul client TMG poate fi utilizat pentru a informa utilizatorii că conexiunile HTTPS de ieșire sunt inspectate dacă aveți nevoie. Administratorii TMG au, de asemenea, opțiunea de a dezactiva procesul de notificare central de pe serverul TMG, sau manual pe fiecare client Forefront TMG.