Впечатления от развертывания Microsoft Forefront Threat Management Gateway

Итак, добрался до экспериментов с развертыванием Microsoft Forefront Threat Management Gateway.
При установке использовал 64-битную виртуальную машину (2 ядра и 2 гигабайта ОЗУ) с урезанными по отношению к запрашиваемым требованиями.
Microsoft рекомендует использовать 4 процессора и 4 гигабайтоа ОЗУ. Между тем, он неплохо встал и на порезануую конфигурацию.
Для развертывания использовал Windows Server 2008 Datacenter Edition x64. Установил все обновления, в том числе, необходимый для развертывания Service Pack 2.
Предлагаемый для скачивания и установки дистрибутив представляет собой самораспаковывающийся архив, который распаковывается в C:\Microsoft Forefront TMG и весит 1 гигабайт с мелочью.
При запуске autorun получаем панель инсталяции, со ставший уже привычным мастером проверки конфигурации, который следует запустить перед самой установкой. Он не просто проверяет, но и устанавливает необходимые компоненты для спешного развертывания TMG.
Начало установки до боли напоминает установку ISA сервера. Все те же знакомые шестеренки процесса инсталяции, почти те же самые вопросы...
Выбираем установку TMG сервисов и менеджмента (по умолчанию). Выбираем куда развернуть рабочую копию программы (по умолчанию C:\Program Files\Microsoft Forefront Threat Management Gateway\).
Указываем локальную сеть, для этого достаточно указать интерфейс сервера, смотрящий в локалку - он автоматом подставит нужные ранжи, или прописать сети вручную. Это было и в ISA сервере. Все, дальше ждем окончания процесса развертывания (примерно 20 минут) и делаем предконфигурацию сервисов TMG.
Замечу что вместе с TMG разворачивается MSSQL2008.
Запуск мастера конфигурации проходит в три этапа:
1. Configure Network Settings
2. Configure System Settings
3. Define Deployment Options

Configure Network Settings
Указываем роль нашего TMG - front-end сервер, back-end сервер, односетевое решение или решение с DMZ.
Как и в ISA данный выбор предконфигурирует разные типы network set-ов и правил общения между сетами.
Указываем какой интерфейс сервера смотрит внутрь сети, а какой наружу. Для удобства, я перед инсталяцией переименовываю интерфейсы в Internal и External. Так сложно ошибиться при выборе.
Характерной особенностью, что появилась в TMG - возможность указать нестандартные маршруты в сети, если, например, есть отдельный VPN сервер, на который надо маршрутизировать ответы в виртуальную сеть.

Configure System Settings
Этого этапа в ISA не было.
Здесь предлагается указать является ли сервер доменным или standalone.
Так как мой сервер был предварительно введен в домен - эти опции уже преднастроены, но имеется возможность на этом шаге сменить домен или имя машины.

Define Deployment Options
Этого этапа так же не было в ISA.
Настраиваем обновления сервера на использование WSUS (если в домене политиками раздается локальный SUS сервер, то будет использоваться он. В таком случае на нем надо добавить закачку обновлений для TMG).
Указываем лицензии для сетевого инспектора NIS и Web Protection. Как раз то, чего не было в ISA - своей собственной защиты от вирусов и атак. Рекомендую так же выставить галочку URL Filtering, что включит механизм блокирования потенциально опасных узлов. В настоящий момент в ISA2006 я использую GFI Web Monitor.
Указываем частоту обновления NIS, и стандартно настраиваем или не настраиваем отправку customer expiriences в Microsoft.

По завершению этих трех этапов стартует Web Access Policy Wizard, в котором рекомендуется задать предустановки по умолчанию для блокировки ненадежных узлов. Список удобно разделен на категории, например анонимайзеры, ботнет, игровые сервера, фишинговые ссылки, порнография.
Здесь же можно добавить свой список запрещенных узлов по этим категориям, или создать свою категорию. По умолчанию все списки пусты.
Следующим этапом предлагается задать пользователей, которым разрешено обходить блокирующие списки.
Далее идет настройка инспектора вредоносного кода. Желательно включить данную опцию. Здесь же есть возможность отсекать загрузку запароленных архивов.
Отдельно вынесена настройка инспектирования HTTPS трафика (!). Правда с оговоркой - мол инспектирование закрытого трафика может нарушать private laws... Следует быть осторожными с этой настройкой, так как под инспектирование попадет например работа с платежными системами пластиковых карт - это потенциальная возможность похищения информации администраторами TMG.
По этому следующим шагом можно настроить уведомление пользователей что их https соединение инспектируется TMG. Если мы настроили инспектировать HTTPS с валидацией сертификатов сайта, то нужно настроить источник сертификатов, будь то ручной режим или режим публикации сертификатов в Active Directory.
Далее определяем место и размер контент-кеша TMG. В ISA это делалось постфактум - а здесь предварительно.

После этого сервер почти готов к работе. Сразу обращает на себя внимание тот факт, что настройки не применяются автоматом, а ждут подтверждения. Нажимаем Apply и сервер начинает работу.
Мы имеем очень похожую на ISA консоль управления, только более расширенную. Появился вездесущий Dashboard, вынесен в отдельный блок Web Access Policy, E-mail policy. Появилась система обнаружения атак в которую входит NIS и фильтр известных сетевых атак. Удобно настраиваемый, прозрачный и уже включенный по умолчанию.
Примечателен тот факт, что в отличии от ISA сервера - после правила блокировки некорректных web-сайтов, идет разрешающее правило для всех в интернет по протоколам HTTP и HTTPS, а уже потом запрещающее все остальное. Насколько я помню ISA - там было только блокирующее правило, и разрешать надо было самостоятельно.
Хорошо это или плохо сказать сложно. С одной стороны пользователи УЖЕ способны ходить в интернет через TMG, а с другой - все равно эти правила каждый администратор задает сам, по группам и предпочтениям. Разрешено всем и всё - мало где применяется.
Интересный пункт - настройка политик e-mail. Здесь можно указать внутренние почтовые серверы, которые обслуживают некоторые домены, в том числе внешние. Эти правила являются дополнительным фильтром нежелательной почты.
Так же интересная мелочь - перед применением очередных изменений TMG предлагает экспортировать работающие настройки, и в случае некорректной конфигурации можно откатиться к сохраненной конфигурации.
Следует так же упомянуть, что для архитектуры x86 консоль управления устанавливается из отдельного пакета, а не методом выбора установки консоли из стандартной инсталяции.

Понравилась возможность быстрой настройки варианта с несколькими провайдерами. Если на входе имеется несколько независимых каналов в интернет, то TMG позволяет настроить их в режимах отказоустойчивости отказоустойчивости с балансировкой.
Для этого На сервере должно быть по одной сетевой карте от каждого провайдера.

В целом TMG создает о себе приятное впечатление дружественного шлюза с кучей интересных и легко настраиваемых опций, справиться с большинством из которых может средней руки администратор.

Поделиться

Опубликовать в Facebook
Опубликовать в LiveJournal

Впечатления от развертывания Microsoft Forefront Threat Management Gateway: Один комментарий

  1. Мне нужно создать кластер MS TMG, Standalone Array из 3-х машин TMG. Что нужно сделать, чтобы правильно развернуть?
    Нашла техническую документацию по этому продукту, но конкретную главу, где это описано не могу найти, может сможете мне помочь сориентироваться?
    https://technet.microsoft.com/ru-ru/library/ff355324.aspx

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>