Forefront threat management gateway 2010

Содержание

Microsoft Forefront Threat Management Gateway
Тип Брандмауэр, VPN, Кэширование Web-страниц
Разработчик Microsoft
Операционная система Microsoft Windows Server
Последняя версия Microsoft Forefront Threat Management Gateway 2010 SP2
Лицензия Проприетарная
Сайт Домашняя страница Microsoft Forefront Threat Management Gateway

Microsoft Forefront Threat Management Gateway (Forefront TMG; ранее известный как Microsoft Internet Security and Acceleration Server (ISA Server)) — прокси-сервер для защиты сети от атак извне, а также контроля интернет-трафика, который «позволяет сотрудникам компании безопасно и эффективно пользоваться ресурсами Интернета, не беспокоясь о вредоносных программах и других угрозах» [1] .

9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка была прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не доступен для приобретения с 1 декабря 2012 года [2] .

Содержание

Описание [ править | править код ]

Продукт пришёл на смену Microsoft Internet Security and Acceleration Server (ISA Server), ещё ранее прокси-серверу Microsoft Proxy Server от Microsoft.

Позволяет организовать защиту локальной сети от вмешательств из сети Интернет и безопасно публиковать различные виды серверов, дает возможность распределять доступ пользователей локальной сети к ресурсам Интернет. Оснащен средствами для анализа посещаемых ресурсов, учёта трафика, а также защиты против атак из сети Интернет. Имеет различные виды аутентификации и авторизации, в том числе поддерживает аутентификацию Active Directory. Поддерживает как рабочие группы, так и домены Windows NT. Имеет множество плагинов для отслеживания исходящего и входящего трафика.

Версии [ править | править код ]

Microsoft Proxy Server [ править | править код ]

В 1996 году война браузеров между Microsoft Internet Explorer и Netscape Navigator была в самом разгаре и Microsoft искала возможности для улучшения позиций своего браузера. В это время, компания Netscape начала продажи web прокси сервера Netscape Proxy Server, позволявшего экономить время загрузки и расходы на дорогой интернет-трафик путём кэширования изображений и веб-страниц локальным сервером. Прямым ответом на это в октябре 1996 года был выпущен Microsoft Proxy Server v1.0 (кодовое имя Catapult) рассчитанный на работу с Windows NT 4.0 [3] .

Microsoft Proxy Server v2.0 был выпущен в декабре 1997 года и принёс такие возможности как создание массива прокси-серверов, функцию обратного прокси (англ. Reverse proxy ) и обратного хостинга (reverse hosting, сервер отвечает на входящие web-запросы за серверы, стоящие позади него).

ISA Server 2000 [ править | править код ]

18 марта 2001 года был выпущен Microsoft Internet Security and Acceleration Server 2000 [4] . Новая версия принесла такие возможности, как обнаружение вторжений, поддержка Active Directory и виртуальных частных сетей (VPN), SecureNAT, разделение полосы пропускания и другие возможности. ISA Server 2000 был представлен в Standard и Enterprise редакциях. Такие технологии, как High-Availability Clustering не были включены в Standard Edition. ISA Server 2000 требовал для работы Windows 2000 (любой редакции, кроме Professional), а также работал на Windows Server 2003.

ISA Server 2004 [ править | править код ]

Microsoft Internet Security and Acceleration Server 2004 выпущен 8 сентября 2004 года [5] .

ISA Server 2006 [ править | править код ]

17 октября 2006 года был выпущен Microsoft Internet Security and Acceleration Server 2006 [6] . Это обновлённая версия ISA Server 2004 сохранила все возможности Server 2004 за исключением Message Screener.

Читайте также:  Размеры кровати нуга бест

Microsoft Forefront Threat Management Gateway 2010 [ править | править код ]

Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) выпущен 17 ноября 2009 [7] . Эта версия основана на ISA Server 2006 и обеспечивает улучшенную защиту веб трафика, родную поддержку 64 битных систем, поддержку Windows Server 2008 и Windows Server 2008 R2 и встроенную защиту от вредоносных программ.

Прекращение дальнейшего развития [ править | править код ]

9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка будет прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не будет доступен для приобретения после 1 декабря 2012 года [2] . На сегодняшний день доступен только в составе аппаратных решений OEM партнёров Microsoft.

В данном обзоре мы подробно рассмотрим Forefront Threat Management Gateway 2010, одну из самых интересных новинок последнего времени от корпорации Microsoft, пришедшую на смену ISA Server 2006. Помимо функционала корпоративного фаервола и прокси-сервера, новинка включает в себя возможности антивирусной и антиспам фильтрации HTTP и SMTP трафика, проверку HTTPS трафика и обнаружения уязвимостей.

Сертификат AM Test Lab

Номер сертификата: 66

Дата выдачи: 03.03.2010

Срок действия: 03.03.2015

Системные требования

Microsoft Forefront Threat Management Gateway 2010 поддерживает только операционные системы Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2.

Минимальные системные требования:

  • поддерживаемые операционные системы: Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2;
  • компьютер с двухъядерным (1 ЦП x два ядра) 64-разрядным процессором;
  • 2 Гб оперативной памяти;
  • 2,5 Гб свободного места на жестком диске (будет использоваться только для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ);
  • один раздел локального жесткого диска с файловой системой NTFS;
  • одна сетевая плата, совместимая с операционной системой компьютера, для взаимодействия с внутренней сетью;
  • дополнительная сетевая плата для каждой сети, подключенной к серверу Forefront TMG.

Рекомендуемые системные требования:

  • компьютер с четырехъядерным (2 ЦП x два ядра или 1 ЦП x четыре ядра) 64-разрядным процессором;
  • 4 Гб оперативной памяти
  • 2,5 Гб свободного места на жестком диске (будет использоваться только для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ);
  • два диска для ведения системного журнала и журнала TMG и один — для кэширования и проверки наличия вредоносных программ;
  • одна сетевая плата, совместимая с операционной системой компьютера, для взаимодействия с внутренней сетью;
  • дополнительная сетевая плата для каждой сети, подключенной к серверу Forefront TMG.

Установка продукта

Microsoft Forefront Threat Management Gateway — комплексный набор программ для обеспечения безопасности в сети, позволяющий повысить надежность охраны и усилить контроль за клиентскими и серверными операционными системами, благодаря интеграции с существующей ИТ-инфраструктурой и упрощению развертывания, управления и анализа.

Усилиями компании Майкрософт полная версия продукта Forefront Threat Management Gateway (Forefront TMG), являющегося прямым наследником Microsoft ISA Server, вышла в первом полугодии 2009 года. Помимо всего функционала Microsoft ISA Server новый продукт включает в себя улучшения существующих, а также множество новых функций.

Forefront TMG продается в двух вариантах: Standard и Enterprise. Функционально они практически не отличаются, различия состоят лишь в лицензионных ограничениях, которые приведены ниже.

Установка и настройка Microsoft Forefront Threat Management Gateway 2010 (TMG 2010)

Forefront TMG 2010 — это комплексное решение для обеспечения безопасности в сети, позволяющее защитить корпоративную сеть предприятия от внешних угроз и предлагает простой единый способ обеспечения безопасности периметра благодаря наличию интегрированных функций межсетевого экрана, VPN, предотвращения вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.

В этом посте я постараюсь описать процессы развертывания и настройки TMG 2010 “с нуля” в домене. Перед непосредственной установкой TMG 2010 необходимо спланировать этот процесс, для того чтобы процесс установки прошел успешно и без трудностей.

Прежде всего стоит обратить внимание на программно/аппаратные требования:

Требования к оборудованию для Forefront TMG:

Оборудование

Требования

Процессор
64-разрядный двухъядерный процессор с тактовой частотой 1,86 ГГц
Память
4 ГБ ОЗУ с тактовой частотой 800 МГц
Жесткий диск
2,5 ГБ свободного места. Это весь объем места на диске, который сможет использоваться для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ.
Сетевые адаптеры
Один сетевой адаптер, совместимый с операционной системой компьютера, для взаимодействия с внутренней сетью. Дополнительный сетевой адаптер для каждой сети, подключенной к компьютеру Forefront TMG.
  • Требования к программному обеспечению для Forefront TMG
Читайте также:  Голландские вафли рецепт для мультипекаря
Программноеобеспечение Подробные сведения

Windows Server 2008

Пакет обновления 2 (SP2) не требуется.

Роли и компоненты Windows:

  • Сервер сетевых политик
  • Службы маршрутизации и удаленного доступа
  • Средства служб Active Directory облегченного доступа к каталогам
  • Средства балансировки сетевой нагрузки
  • Windows PowerShell

Они устанавливаются средством подготовки Forefront TMG.

Программу подготовки для Forefront TMG можно запустить со страницы автозапуска.

Роли и компоненты Windows, которые устанавливаются вместе с Forefront TMG, не удаляются при удалении Forefront TMG. При необходимости удалите их вручную после удаления Forefront TMG с сервера.

Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1)
Интерфейс API веб-служб Windows
Центр обновления Windows
Установщик Microsoft Windows 4.5

Весь процесс развертывания TMG 2010 можно разделить на 3 фазы :

  1. Подготовка к установке;
  2. Собственно, установка;
  3. Конфигурация.

Начнем с описания процесса подготовки к установке:

Перед установкой Forefront TMG 2010 необходимо запустить средство подготовки, чтобы убедиться, что на компьютере установлены приложения, необходимые для успешной установки Forefront TMG 2010. Установка Forefront TMG 2010 может завершиться сбоем, если на компьютере отсутствуют нужные приложения и средство подготовки не было предварительно запущено.

К этим приложениям относятся:

Если эти приложения отсутствуют на компьютере, средство подготовки загрузит и установит их.

После установки диска с образом Forefront TMG 2010 в DVD запустится экран приветствия :

Обратите внимание на последовательность предварительной подготовки к установке (Prepare and Install):

Перед установкой Forefront TMG 2010 необходимо убедиться, чтобы прошли все системные обновления. Для запуска проверки наличия обновлений щелкаем Run Windows Update.

После установки всех обновлений запускаем средство подготовки к установке Forefront TMG 2010:

Далее необходимо выбрать один из возможных сценариев установки Forefront TMG 2010:

Всего их три и они означают следующее:

1. Службы и управление Forefront TMG (Forefront TMG Services and Management)— установка одного сервера Forefront TMG на компьютере, включая установку всех служб Forefront TMG и консоли управления Forefront TMG, предназначенной для локального управления Forefront TMG.

2. Удаленное управление (Forefront TMG Management) — установка только консоли управления Forefront TMG 2010 для удаленного управления серверами Forefront TMG, установленными на других компьютерах. Консоль представляет собой оснастку консоли управления (MMC).
При выборе этого пункта необходимо обратить внимание на следующее:

— Консоль управления Forefront TMG 2010 можно запустить в 32-разрядных версиях Windows Server 2008, однако для других вариантов Forefront TMG 2010 требуется 64-разрядная версия операционной системы Windows Server 2008.
— Для того чтобы время отклика консоли при отображении обновленных сведений о конфигурации было невелико, между компьютером Forefront TMG и компьютером, на котором запускается консоль управления Forefront TMG, требуется надежное и высокоскоростное подключение. Если скорость сетевого подключения к компьютеру Forefront TMG меньше 5 Мбит/с, рекомендуется подключаться к компьютеру Forefront TMG по протоколу RDP и запускать консоль управления Forefront TMG локально на компьютере Forefront TMG.
— Запуск мастера начальной настройки Forefront TMG из удаленной консоли управления Forefront TMG не поддерживается. Для запуска мастера начальной настройки необходимо использовать локальную консоль.

3. Enterprise Management Server (EMS) for centralized array management — этот параметр установки доступен только в выпуске Forefront TMG Enterprise Edition (в версии Forefront TMG Standard Edition данный параметр установки отсутствует). Сервер Enterprise Management Server позволяет централизованно управлять несколькими массивами Forefront TMG. При использовании данного сервера можно создавать и обновлять политики предприятия, а также создавать правила политики, которые затем можно назначать массивам предприятия.

В нашем случае мы выбираем первый вариант : будем устанавливать сервер Forefront TMG 2010 с локальной консолью управления:

Далее идет процесс подготовки :

Ну и собственно все – процесс подготовки к установке завершен: ставим галочку напротив Launch Forefront TMG Installation Wizard и кликаем OK для начала запуска самого процесса установки TMG 2010.

Начинается процесс установки традиционно с запуска мастера,

принятия лицензионного соглашения

ввода регистрационных данных и серийного номера,

далее указываем путь установки

ну и в конце необходимо указать адреса внутренней сети предприятия для чего нажимаем Добавить (Add)

и далее мы можем добавить :

1. сетевой адаптер к, которому привязана внутренняя сеть предприятия;
2. частные адреса — IP-адреса, которые не поддерживают маршрутизацию, на основании RFC 1918 и функции автоматического назначения частных IP-адресов (169.254.0.0–169.254.255.255).
3. диапазон адресов — добавление диапазона IP-адресов. Необходимо указать начальный и конечный IP-адреса диапазона.

Читайте также:  Скайп не скачивается с официального сайта

В нашем случае нам подходит п. 1, т.е. мы выбираем сетевой адаптер (LAN), который “смотрит” в нашу внутреннюю сеть:

При выборе этого метода добавляемые IP-адреса основаны на IP-адресе и маске подсети выбранной сетевой платы :

Далее предупреждение о рестарте сервисов во время установки :

Ну и собственно запускаем процесс инсталляции:

установка основных компонентов

установка дополнительных компонентов:

ну и третий этап – инициализация :

Процесс установки завершен и теперь кликаем Launch Forefront TMG Management when wizard closes — запуск консоли управления TMG 2010 для начальной конфигурации:

Нажимаем Finish, после чего увидим сообщение об успешной установке Forefront TMG 2010 и открытии консоли управления TMG 2010 :

Теперь можно приступать к третьей финальной стадии развертывания Forefront Threat Management Gateway 2010 – настройки параметров начального развертывания, которая также состоит из трех этапов:

— настройки сетевых параметров — с помощью мастера будет произведена настройка сетевых адаптеров на сервере;
— настройки системных параметров — с помощью мастера будет произведена настройка параметров операционной системы, таких как сведения об имени компьютера, настройки домена или рабочей группы;
— определение параметров развертывания — с помощью мастера будет произведены настройки защиты от вредоносных программ для HTTP-трафика и присоединения к программе обратной связи с клиентами и службе дистанционного отслеживания.

Запускаем мастер настройки сетевых параметров

на данном этапе необходимо определиться с топологией сети Forefront TMG 2010, которая наиболее соответствует существующей топологии и требованиям к безопасности сети.

Доступны следующие топологии сети Forefront TMG:

Для нашей топологии сети мы выбираем первую топологию :

Далее выбираем сетевой адаптер внутренней сети :

Также стоит обратить внимание на то, что тут же можно вручную добавить другие внутренние сети (Add). У нас таковые отсутствуют , поэтому нажимаем Далее (Next) и в следующем диалоговом окне выбираем сетевой адаптер, который “смотрит” во внешнюю сеть :

Так как мы выбрали динамические адреса на внешнем сетевом адаптере TMG 2010 предупреждает о увеличении риска атак на наш сервер. Кликаем ОК и завершаем процесс настройки сетевых параметров.

Следующим этапом будет настройка системных параметров:

Кликаем Configure system setting для запуска мастера:

Если ничего изменять не нужно, тогда нажимаем Далее (Next):

Вот и все настройки тут – Finish, 🙂

Заключительный этап – это настройка параметров развертывания:

чтобы использовать службу Центра обновления Майкрософт для получения обновлений определений вредоносных программ отмечаем Использовать службу Центра обновления Майкрософт для проверки наличия обновлений (Use the Microsoft Update service to check for updates):
если сервер TMG 2010 подключен к внутреннему серверу со службой WSUS на получение обновлений, то параметры данной страницы никак на это не повлияют. В случае невозможности получения обновлений от службы WSUS, то будут применены параметры выбранные на этой странице.

и нажимаем Далее (Next).

Включаем система проверки сети выбрав Activate complementary license and enable NIS.

Возможности Веб-защиты мы пока использовать не будем поэтому выбираем Disable Web Protection.

Устанавливаем частоту обновления наборов сигнатур системы проверки сети (NIS), время (в днях) после которого будет отображено предупреждение об устаревших сигнатурах NIS, а также выбираем политику установки обновленных сигнатур.

Щелкаем Далее (Next)

В этом диалогов окне мастера выбираем хотим ли мы участвовать в анонимной программе улучшения качества программного обеспечения Microsoft – я пока в этом не вижу для себя смысла, поэтому выбрал нет и выбрал Далее.

Ну и в последнем окне этого мастера предлагается Вам участвовать в работе службы Microsoft Telemetry Reporting Service, с помощью которой в Microsoft отправляются данные относительно угроз и их типах.

Я выбрал последнее, что собственно и завершило процесс настройки параметров развертывания:

На этом я закончу, получился довольно длинный, но надеюсь, содержательный пост об установке. Об установке этого продукта можно еще говорить, что я постараюсь сделать в следующих постах. Ну а конфигурация и эксплуатация этого продукта это отдельная тема для еще многих постов и обсуждения.