Tmg установка и настройка

Содержание

Посетителей: 34863 | Просмотров: 50249 (сегодня 0) Шрифт:

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение. Для списка причин, по которым стоит использовать TMG клиент, читайте статью Тома Шиндера на www.ISAserver.org:

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

  • уведомления HTTPS осмотра
  • поддержку AD Marker

Стандартные функции TMG клиента

  • Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
  • Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
  • Упрощенная настройка маршрутизации в больших организациях
  • Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

  • Windows 7
  • Windows Server 2003
  • Windows Server 2008
  • Windows Vista
  • Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

  • ISA Server 2004 Standard Edition
  • ISA Server 2004 Enterprise Edition
  • ISA Server 2006 Standard Edition
  • ISA Server 2006 Enterprise Edition
  • Forefront TMG MBE (Medium Business Edition)
  • Forefront TMG 2010 Standard Edition
  • Forefront TMG 2010 Enterprise Edition

Поддержка операционных систем

Клиент /Сервер – совместимость

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Читайте также:  Call of duty advanced warfare фото

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft. В конце статьи я привел ссылки на загрузку.

Начните процесс установки и следуйте указаниям мастера.

Р исунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте. Для дополнительной информации о настройке осмотра исходящего HTTPS трафика читайте следующую статью Тома Шиндера

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Рисунок 7: Сообщение об использовании осмотра защищенных подключений

Сайт посвящен описанию технологий Microsoft

Установка и настройка Forefront TMG 2010 — часть 1.

Устанавливается TMG только на сервер с Windows Server 2008 и только на 64-битный….

Перед самой установкой необходимо запустить утилиту подготовки инсталляции (Preparation Tool)

В процессе ее работы будут установлены роли сервера, необходимые для нормального функционирования Forefront TMG:

  • Network Access and Policy Services
  • Routing and Remote Access Services
  • Active Directory Lightweight Directory Services
  • Network Load Balancing

Также необходимы .NET 3.5 Framework SP1, Microsoft Windows Installer 4.5

Указываем, какой сетевой адаптер подключен к локальной сети предприятия

Указываем, в какой конфигурации предполагается функционирование Forefront TMG

На рисунке приведена самая распространенная конфигурация в виде единственного брандмауэра, защищающего сеть предприятия.

Опция 3-Leg perimeter неактивна так как данный сервер имеет всего 2 сетевых адаптера. Back firewall необходимо выбирать в том случае, если в роли front-end firewall выступает другое устройство безопасности (например, Cisco, CheckPoint…) Лишено смысла использовать устройство одного производителя для организации и back-end, и front-end firewall так как в случае компрометации одного устройства злоумышленнику не составит труда взломать и второе… Ну и последний вариант конфигурации малофункционален и весьма спорен с точки зрения безопасности.

Указываем сетевые настройки адаптера, подключенного в локальную сеть. Тут же можно указать и дополнительные маршруты в другие подсети.

Затем — настройки внешнего сетевого адаптера

На этом конфигурирование сетевых параметров окончено — приступаем к системным параметрам.

Теперь указываем параметры развертывания Forefront TMG.

Включаем использование службы Windows Update

Включаем службу проверки сетевых соединений (NIS), проверку web-траффика и URL фильтрацию

Указываем, как часто будут обновляться сигнатуры для NIS

Следующий раз рассмотрим, как пользователям предприятия разрешить доступ в интернет, настроим фильтрацию URL, сканирование трафика на предмет вредоносных программ, настройки web-кеширования и пр.

Share this:

Понравилось это:

Written by sfomin

27 января, 2010 в 10:44 пп

Один ответ

Subscribe to comments with RSS.

Коллега, не много поправлю в настройках WAN адаптера нужно убрать DNS. DNS должен быть только один на внутреннем интерфейсе который указывает на контролер домена
Настройка внешнего интерфейса

«При настройке внешнего интерфейса в этом сценарии нужно будет настроить IP адреса, которые должны быть заданы внешнему интерфейсу. Одна сетевая карта может принимать несколько IP адресов, поэтому если вы хотите привязать несколько IP адресов к внешнему интерфейсу, вы можете сделать это безо всяких проблем; нужно ввести дополнительные IP адреса в закладке ‘Дополнительно (Advanced)’ в окне настройки IP адресов внутреннего интерфейса. Затем указываете основной шлюз внешнего интерфейса. НЕ вводите DNS сервер для внешнего интерфейса. Брандмауэр TMG необходимо настраивать только на использование внутреннего DNS сервера, и этот DNS сервер должен иметь возможность разрешать имена внутренних и внешних узлов. То, как внутренний DNS сервер будет это делать, не является заботой брандмауэра TMG; нужно просто убедиться, что на сетевых картах TMG не настроен внешний DNS сервер.

Читайте также:  1С копирование таблицы значений

Установка и настройка Microsoft Forefront Threat Management Gateway 2010 (TMG 2010)

Forefront TMG 2010 — это комплексное решение для обеспечения безопасности в сети, позволяющее защитить корпоративную сеть предприятия от внешних угроз и предлагает простой единый способ обеспечения безопасности периметра благодаря наличию интегрированных функций межсетевого экрана, VPN, предотвращения вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.

В этом посте я постараюсь описать процессы развертывания и настройки TMG 2010 “с нуля” в домене. Перед непосредственной установкой TMG 2010 необходимо спланировать этот процесс, для того чтобы процесс установки прошел успешно и без трудностей.

Прежде всего стоит обратить внимание на программно/аппаратные требования:

Требования к оборудованию для Forefront TMG:

Оборудование

Требования

Процессор
64-разрядный двухъядерный процессор с тактовой частотой 1,86 ГГц
Память
4 ГБ ОЗУ с тактовой частотой 800 МГц
Жесткий диск
2,5 ГБ свободного места. Это весь объем места на диске, который сможет использоваться для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ.
Сетевые адаптеры
Один сетевой адаптер, совместимый с операционной системой компьютера, для взаимодействия с внутренней сетью. Дополнительный сетевой адаптер для каждой сети, подключенной к компьютеру Forefront TMG.
  • Требования к программному обеспечению для Forefront TMG
Программноеобеспечение Подробные сведения

Windows Server 2008

Пакет обновления 2 (SP2) не требуется.

Роли и компоненты Windows:

  • Сервер сетевых политик
  • Службы маршрутизации и удаленного доступа
  • Средства служб Active Directory облегченного доступа к каталогам
  • Средства балансировки сетевой нагрузки
  • Windows PowerShell

Они устанавливаются средством подготовки Forefront TMG.

Программу подготовки для Forefront TMG можно запустить со страницы автозапуска.

Роли и компоненты Windows, которые устанавливаются вместе с Forefront TMG, не удаляются при удалении Forefront TMG. При необходимости удалите их вручную после удаления Forefront TMG с сервера.

Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1)
Интерфейс API веб-служб Windows
Центр обновления Windows
Установщик Microsoft Windows 4.5

Весь процесс развертывания TMG 2010 можно разделить на 3 фазы :

  1. Подготовка к установке;
  2. Собственно, установка;
  3. Конфигурация.

Начнем с описания процесса подготовки к установке:

Перед установкой Forefront TMG 2010 необходимо запустить средство подготовки, чтобы убедиться, что на компьютере установлены приложения, необходимые для успешной установки Forefront TMG 2010. Установка Forefront TMG 2010 может завершиться сбоем, если на компьютере отсутствуют нужные приложения и средство подготовки не было предварительно запущено.

К этим приложениям относятся:

Если эти приложения отсутствуют на компьютере, средство подготовки загрузит и установит их.

После установки диска с образом Forefront TMG 2010 в DVD запустится экран приветствия :

Обратите внимание на последовательность предварительной подготовки к установке (Prepare and Install):

Перед установкой Forefront TMG 2010 необходимо убедиться, чтобы прошли все системные обновления. Для запуска проверки наличия обновлений щелкаем Run Windows Update.

После установки всех обновлений запускаем средство подготовки к установке Forefront TMG 2010:

Далее необходимо выбрать один из возможных сценариев установки Forefront TMG 2010:

Всего их три и они означают следующее:

1. Службы и управление Forefront TMG (Forefront TMG Services and Management)— установка одного сервера Forefront TMG на компьютере, включая установку всех служб Forefront TMG и консоли управления Forefront TMG, предназначенной для локального управления Forefront TMG.

2. Удаленное управление (Forefront TMG Management) — установка только консоли управления Forefront TMG 2010 для удаленного управления серверами Forefront TMG, установленными на других компьютерах. Консоль представляет собой оснастку консоли управления (MMC).
При выборе этого пункта необходимо обратить внимание на следующее:

— Консоль управления Forefront TMG 2010 можно запустить в 32-разрядных версиях Windows Server 2008, однако для других вариантов Forefront TMG 2010 требуется 64-разрядная версия операционной системы Windows Server 2008.
— Для того чтобы время отклика консоли при отображении обновленных сведений о конфигурации было невелико, между компьютером Forefront TMG и компьютером, на котором запускается консоль управления Forefront TMG, требуется надежное и высокоскоростное подключение. Если скорость сетевого подключения к компьютеру Forefront TMG меньше 5 Мбит/с, рекомендуется подключаться к компьютеру Forefront TMG по протоколу RDP и запускать консоль управления Forefront TMG локально на компьютере Forefront TMG.
— Запуск мастера начальной настройки Forefront TMG из удаленной консоли управления Forefront TMG не поддерживается. Для запуска мастера начальной настройки необходимо использовать локальную консоль.

3. Enterprise Management Server (EMS) for centralized array management — этот параметр установки доступен только в выпуске Forefront TMG Enterprise Edition (в версии Forefront TMG Standard Edition данный параметр установки отсутствует). Сервер Enterprise Management Server позволяет централизованно управлять несколькими массивами Forefront TMG. При использовании данного сервера можно создавать и обновлять политики предприятия, а также создавать правила политики, которые затем можно назначать массивам предприятия.

В нашем случае мы выбираем первый вариант : будем устанавливать сервер Forefront TMG 2010 с локальной консолью управления:

Далее идет процесс подготовки :

Читайте также:  Статья за шантаж фото

Ну и собственно все – процесс подготовки к установке завершен: ставим галочку напротив Launch Forefront TMG Installation Wizard и кликаем OK для начала запуска самого процесса установки TMG 2010.

Начинается процесс установки традиционно с запуска мастера,

принятия лицензионного соглашения

ввода регистрационных данных и серийного номера,

далее указываем путь установки

ну и в конце необходимо указать адреса внутренней сети предприятия для чего нажимаем Добавить (Add)

и далее мы можем добавить :

1. сетевой адаптер к, которому привязана внутренняя сеть предприятия;
2. частные адреса — IP-адреса, которые не поддерживают маршрутизацию, на основании RFC 1918 и функции автоматического назначения частных IP-адресов (169.254.0.0–169.254.255.255).
3. диапазон адресов — добавление диапазона IP-адресов. Необходимо указать начальный и конечный IP-адреса диапазона.

В нашем случае нам подходит п. 1, т.е. мы выбираем сетевой адаптер (LAN), который “смотрит” в нашу внутреннюю сеть:

При выборе этого метода добавляемые IP-адреса основаны на IP-адресе и маске подсети выбранной сетевой платы :

Далее предупреждение о рестарте сервисов во время установки :

Ну и собственно запускаем процесс инсталляции:

установка основных компонентов

установка дополнительных компонентов:

ну и третий этап – инициализация :

Процесс установки завершен и теперь кликаем Launch Forefront TMG Management when wizard closes — запуск консоли управления TMG 2010 для начальной конфигурации:

Нажимаем Finish, после чего увидим сообщение об успешной установке Forefront TMG 2010 и открытии консоли управления TMG 2010 :

Теперь можно приступать к третьей финальной стадии развертывания Forefront Threat Management Gateway 2010 – настройки параметров начального развертывания, которая также состоит из трех этапов:

— настройки сетевых параметров — с помощью мастера будет произведена настройка сетевых адаптеров на сервере;
— настройки системных параметров — с помощью мастера будет произведена настройка параметров операционной системы, таких как сведения об имени компьютера, настройки домена или рабочей группы;
— определение параметров развертывания — с помощью мастера будет произведены настройки защиты от вредоносных программ для HTTP-трафика и присоединения к программе обратной связи с клиентами и службе дистанционного отслеживания.

Запускаем мастер настройки сетевых параметров

на данном этапе необходимо определиться с топологией сети Forefront TMG 2010, которая наиболее соответствует существующей топологии и требованиям к безопасности сети.

Доступны следующие топологии сети Forefront TMG:

Для нашей топологии сети мы выбираем первую топологию :

Далее выбираем сетевой адаптер внутренней сети :

Также стоит обратить внимание на то, что тут же можно вручную добавить другие внутренние сети (Add). У нас таковые отсутствуют , поэтому нажимаем Далее (Next) и в следующем диалоговом окне выбираем сетевой адаптер, который “смотрит” во внешнюю сеть :

Так как мы выбрали динамические адреса на внешнем сетевом адаптере TMG 2010 предупреждает о увеличении риска атак на наш сервер. Кликаем ОК и завершаем процесс настройки сетевых параметров.

Следующим этапом будет настройка системных параметров:

Кликаем Configure system setting для запуска мастера:

Если ничего изменять не нужно, тогда нажимаем Далее (Next):

Вот и все настройки тут – Finish, 🙂

Заключительный этап – это настройка параметров развертывания:

чтобы использовать службу Центра обновления Майкрософт для получения обновлений определений вредоносных программ отмечаем Использовать службу Центра обновления Майкрософт для проверки наличия обновлений (Use the Microsoft Update service to check for updates):
если сервер TMG 2010 подключен к внутреннему серверу со службой WSUS на получение обновлений, то параметры данной страницы никак на это не повлияют. В случае невозможности получения обновлений от службы WSUS, то будут применены параметры выбранные на этой странице.

и нажимаем Далее (Next).

Включаем система проверки сети выбрав Activate complementary license and enable NIS.

Возможности Веб-защиты мы пока использовать не будем поэтому выбираем Disable Web Protection.

Устанавливаем частоту обновления наборов сигнатур системы проверки сети (NIS), время (в днях) после которого будет отображено предупреждение об устаревших сигнатурах NIS, а также выбираем политику установки обновленных сигнатур.

Щелкаем Далее (Next)

В этом диалогов окне мастера выбираем хотим ли мы участвовать в анонимной программе улучшения качества программного обеспечения Microsoft – я пока в этом не вижу для себя смысла, поэтому выбрал нет и выбрал Далее.

Ну и в последнем окне этого мастера предлагается Вам участвовать в работе службы Microsoft Telemetry Reporting Service, с помощью которой в Microsoft отправляются данные относительно угроз и их типах.

Я выбрал последнее, что собственно и завершило процесс настройки параметров развертывания:

На этом я закончу, получился довольно длинный, но надеюсь, содержательный пост об установке. Об установке этого продукта можно еще говорить, что я постараюсь сделать в следующих постах. Ну а конфигурация и эксплуатация этого продукта это отдельная тема для еще многих постов и обсуждения.