Forefront tmg ошибка при создании конфигурации служб. Установка клиента TMG. Этап. Установка операционной системы на физический сервер
Данный материал является практическим применением двух конкретных технологий: Microsoft Hyper-V и Microsoft Forefront Threat Management Gateway, которые предлагает компания Microsoft.
Данный материал является практическим применением двух конкретных технологий: Microsoft Hyper-V и Microsoft Forefront Threat Management Gateway, которые предлагает компания Microsoft.
Технические данные
В рамках проекта есть ОДИН физический сервер с двумя сетевыми картами, поддерживающий технологию виртуализации. В рамках данной статьи необходимо решить задачу развертывания демилитаризованной зоны (ДМЗ) в виртуальной сети.
Прежде чем произвести установку всеx программных продуктов необходимо прочитать правила лицензирования, которые позволят рассчитать стоимость владения ПО. Лицензионное соглашение компании Microsoft регулярно обновляется и всегда доступно на сайте Microsoft.
Этап 1. Установка операционной системы на физический сервер.
Компания Microsoft предлагает 2 варианта виртуализации:
- C использование гипервизора Microsoft Hyper-V™ Server 2008 .
- C использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.
В рамках текущей статьи будет представлен вариант с использованием роли сервера Hyper-V.
Использование гипервизора Microsoft Hyper-V™ Server 2008 .
Компания Microsoft выпустила продукт, который позволяет физический сервер превратить в сервер виртуальных машин без установки операционной системы (на самом деле операционная система устанавливается, но она является специализированной для виртуализации). Продукт называется Microsoft Hyper-V Server.
Для его администрирования необходимо использовать оболочку Диспетчер Hyper-V, которую можно установить в операционные системы Windows 7 и Windows Vista, либо обладать знаниями по использованию оболочки Powershell.
Гипервизор Microsoft Hyper-V Server 2008 обеспечивает возможность использования технологии виртуализации БЕСПЛАТНО, но требует специализированных знаний и навыков при обслуживании и использовании дополнительного оборудования, например, ленточных накопителей или систем хранения данных.
Использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.
В рамках операционной системы Microsoft Windows 2008 R2 существует роль Hyper-V, которая предоставляет возможность создания виртуальных машин. При этом на физическом сервере существует возможность использования полноценной операционной системы, которая предоставит администраторам необходимую свободу действий.
Подробнее про установку гипервизора Microsoft Hyper-V™ Server и роли Hyper-V можно найти на сайте www.microsoft.ru .
Этап 2. Управление виртуальной сетевой инфраструктурой.
Несмотря на то, что сервер физический, существует возможность не назначать сетевые адреса на физические сетевые карты, что позволит обеспечить безопасность физического сервера. Однако отсутствие сетевого подключения к локальной сети исключает удаленное администрирование сервера, на котором установлена роль Hyper-V. Обычно для администрирования сервера назначают IP адрес доступа из внутренней сети.
Назначать сетевой адрес на сетевую карту, подключенную к сети Интернет не рекомендуется, так как нет средств для обеспечения полноценной защиты физического сервера.
Лучше всего настроить текущую сетевую инфраструктуру на сервере виртуализации. Так как рассматриваемая сетевая инфраструктура представляет собой трехноговую инфраструктуру (Внутренняя – ДМЗ – Внешняя), то необходимо создать три сети, две из которых будут физически присвоены к различным сетевым адаптерам, а третья будет виртуальной – для демилитаризованной зоны. Это делается через «Диспетчер виртуальной сети», как показано на рисунке 1.
В окне «Диспетчер виртуальных сетей» выбираем пункт «Создать виртуальную сеть». Выбираем тип «Внешний» и нажимаем «Добавить». Процесс создания сети представлен на рис. 2.
В рамках создаваемой инфраструктуры нам необходимо создать 3 вида сетей: две внешних сети с подключением к разным адаптерам (подключение к внутренний сети и подключение к провайдеру) и одну частную сеть из виртуальных машин (подключение серверов ДМЗ). В результате мы получим три сети (рис.3.)
3 Этап. Создание виртуальных машин.
При создании виртуальных машин, находящихся в демилитаризованной зоне, необходимо указать созданный адаптер Virtual DMZ. Основным шлюзом (default gateway) будет являться сервер Microsoft Forefront Threat Management Gateway. Конфигурацию и объем жестких дисков выбирают исходя из задач, возложенных на сервера.
Для создания виртуальной машины необходимо кликнуть правой кнопкой на сервере Hyper-V, выбрать пункт «Создать - Виртуальную машину». После чего откроется окно приглашения.
В окне «Укажите имя и месторасположение» необходимо определить название и месторасположение файла конфигурации виртуального сервера (рис. 4.).
В окне «Выделить память» (рис. 5) необходимо выбрать размер оперативной памяти. Для Microsoft Forefront Threat Management Gateway по минимальным требованиям необходимо 2Гб оперативной памяти.
В окне «Настройка сети» выбираем подключение к внутренней сети (Virtual Internal).
В окне «Подключить виртуальный жесткий диск» необходимо выбрать пункт «Создать виртуальный жесткий диск». Указать размер (для Microsoft Windows 2008 R2 не менее 11 Гб) (рис. 7).
В окне «Параметры установки» выбираем пункт «Установить операционную систему позднее» и нажимаем «Далее» (рис. 8).
После окна «Сводка» нажимаем «Готово».
Прежде чем преступить к установке Windows 2008 R2 Server необходимо зайти в настройки виртуальной машины FOREFRONT. Правой кнопкой кликаем на виртуальной машине – Параметры…
И в окне «Настройки для FOREFRONT»
В окне выбираем «Установка оборудования» - «Сетевой адаптер» и нажимаем «Добавить». Добавляем два оставшихся адаптера Virtual Internet и Virtual DMZ. После добавления конфигурация компьютера будет выглядеть так:
после этого приступаем к установке Microsoft Windows 2008 R2 Server.
Этап 4. Установка Microsoft Windows 2008 R2 Server.
Приступаем к установке Windows 2008 R2 Server. Для этого необходим образ диска. Его можно скачать с сайта Microsoft. На сайте www.microsoft.ru можно найти жесткий диск для виртуальных машин и заменить его созданным ранее нами.
В «Контроллере 1 IDE» устанавливаем «Файл изображения» и указываем расположение файла образа.
Запускаем виртуальную машину.
После этого можно отправлять установку Microsoft Windows 2006 R2 и Microsoft ForeFront Threat Management Gateway по умолчанию. Определяем сетевые адаптеры и назначаем IP адреса согласно конфигурации сети. ВНИМАНИЕ! На компьютере может быть определен только единственный Default Gateway. Обычно его назначают default gateway провайдера.
Этап 5. Настройка Microsoft Forefront Threat Management Gateway.
После первоначального запуска появится окно «Started Wizard». Также его можно запустить через «Launch Getting Started Wizard».
В настройках «Network Template selection» выбираем «3-Leg perimeter»(трехногий периметр), который позволит ограничить и создать ДМЗ. Нажимаем «Далее».
В окне «Local Area Network (LAN) Setting» выбираем сетевой адаптер, который подключен к внутренней локальной сети.
В окне «Internet Setting» выбираем сетевой адаптер, подключенный к провайдеру.
В окне «Perimeter Network Setting» определяем сетевой адаптер, подключенный к серверам в ДМЗ. Далее необходимо выбрать тип доверия к данной сети. Он может быть либо Public(публичный), когда на серверах находящихся в ДМЗ будет настроена маршрутизация без использования NAT, либо Private (приватный), когда будет настроена маршрутизация с использованием NAT. Данный режим определятся уровнем доверия к сети ДМЗ. Режим Private позволит в полной мере защитит вашу сеть от видимости со стороны ДМЗ, но могут возникнуть проблемы с настройкой правил доступа.
В этой статье было показано каким образом можно настроить 3-leg периметр. К сожалению, в рамках данной статьи невозможно показать полную настройку Microsoft Forefront Threat Management Gateway для организаций, так как для каждой организации будут существовать свои правила доступа и отношения между сетями и пользователями, которые описаны в политике безопасности.
Данный материал является практическим применением двух конкретных технологий: Microsoft Hyper-V и Microsoft Forefront Threat Management Gateway, которые предлагает компания Microsoft.
Технические данные.
В рамках проекта есть ОДИН физический сервер с двумя сетевыми картами, поддерживающий технологию виртуализации. В рамках данной статьи необходимо решить задачу развертывания демилитаризованной зоны (ДМЗ) в виртуальной сети.
Прежде чем произвести установку всеx программных продуктов необходимо прочитать правила лицензирования, которые позволят рассчитать стоимость владения ПО. Лицензионное соглашение компании Microsoft регулярно обновляется и всегда доступно на сайте Microsoft.
1 Этап. Установка операционной системы на физический сервер.
Компания Microsoft предлагает 2 варианта виртуализации:
- C использование гипервизора Microsoft Hyper-V™ Server 2008 .
- C использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.
В рамках текущей статьи будет представлен вариант с использованием роли сервера Hyper-V.
Использование гипервизора Microsoft Hyper-V™ Server 2008 .
Компания Microsoft выпустила продукт, который позволяет физический сервер превратить в сервер виртуальных машин без установки операционной системы (на самом деле операционная система устанавливается, но она является специализированной для виртуализации). Продукт называется Microsoft Hyper-V Server.
Для его администрирования необходимо использовать оболочку Диспетчер Hyper-V, которую можно установить в операционные системы Windows 7 и Windows Vista, либо обладать знаниями по использованию оболочки Powershell.
Гипервизор Microsoft Hyper-V Server 2008 обеспечивает возможность использования технологии виртуализации БЕСПЛАТНО, но требует специализированных знаний и навыков при обслуживании и использовании дополнительного оборудования, например, ленточных накопителей или систем хранения данных.
Использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.
В рамках операционной системы Microsoft Windows 2008 R2 существует роль Hyper-V, которая предоставляет возможность создания виртуальных машин. При этом на физическом сервере существует возможность использования полноценной операционной системы, которая предоставит администраторам необходимую свободу действий.
Подробнее про установку гипервизора Microsoft Hyper-V™ Server и роли Hyper-V можно найти на сайте www.microsoft.ru .
2 Этап. Управление виртуальной сетевой инфраструктурой.
Несмотря на то, что сервер физический, существует возможность не назначать сетевые адреса на физические сетевые карты, что позволит обеспечить безопасность физического сервера. Однако отсутствие сетевого подключения к локальной сети исключает удаленное администрирование сервера, на котором установлена роль Hyper-V. Обычно для администрирования сервера назначают IP адрес доступа из внутренней сети.
Назначать сетевой адрес на сетевую карту, подключенную к сети Интернет не рекомендуется, так как нет средств для обеспечения полноценной защиты физического сервера.
Лучше всего настроить текущую сетевую инфраструктуру на сервере виртуализации. Так как рассматриваемая сетевая инфраструктура представляет собой трехноговую инфраструктуру (Внутренняя – ДМЗ – Внешняя), то необходимо создать три сети, две из которых будут физически присвоены к различным сетевым адаптерам, а третья будет виртуальной – для демилитаризованной зоны. Это делается через «Диспетчер виртуальной сети», как показано на рисунке 1.
В окне «Диспетчер виртуальных сетей» выбираем пункт «Создать виртуальную сеть». Выбираем тип «Внешний» и нажимаем «Добавить». Процесс создания сети представлен на рис. 2.
В рамках создаваемой инфраструктуры нам необходимо создать 3 вида сетей: две внешних сети с подключением к разным адаптерам (подключение к внутренний сети и подключение к провайдеру) и одну частную сеть из виртуальных машин (подключение серверов ДМЗ). В результате мы получим три сети (рис.3.)
3 Этап. Создание виртуальных машин.
При создании виртуальных машин, находящихся в демилитаризованной зоне, необходимо указать созданный адаптер Virtual DMZ. Основным шлюзом (default gateway) будет являться сервер Microsoft Forefront Threat Management Gateway. Конфигурацию и объем жестких дисков выбирают исходя из задач, возложенных на сервера.
Для создания виртуальной машины необходимо кликнуть правой кнопкой на сервере Hyper-V, выбрать пункт «Создать – Виртуальную машину». После чего откроется окно приглашения.
В окне «Укажите имя и месторасположение» необходимо определить название и месторасположение файла конфигурации виртуального сервера (рис. 4.).
В окне «Выделить память» (рис. 5) необходимо выбрать размер оперативной памяти. Для Microsoft Forefront Threat Management Gateway по минимальным требованиям необходимо 2Гб оперативной памяти.
В окне «Настройка сети» выбираем подключение к внутренней сети (Virtual Internal).
В окне «Подключить виртуальный жесткий диск» необходимо выбрать пункт «Создать виртуальный жесткий диск». Указать размер (для Microsoft Windows 2008 R2 не менее 11 Гб) (рис. 7).
В окне «Параметры установки» выбираем пункт «Установить операционную систему позднее» и нажимаем «Далее» (рис. 8).
После окна «Сводка» нажимаем «Готово».
Прежде чем преступить к установке Windows 2008 R2 Server необходимо зайти в настройки виртуальной машины FOREFRONT. Правой кнопкой кликаем на виртуальной машине – Параметры…
И в окне «Настройки для FOREFRONT»
В окне выбираем «Установка оборудования» – «Сетевой адаптер» и нажимаем «Добавить». Добавляем два оставшихся адаптера Virtual Internet и Virtual DMZ. После добавления конфигурация компьютера будет выглядеть так:
после этого приступаем к установке Microsoft Windows 2008 R2 Server.
Этап 4. Установка Microsoft Windows 2008 R2 Server.
Приступаем к установке Windows 2008 R2 Server. Для этого необходим образ диска. Его можно скачать с сайта Microsoft. На сайте www.microsoft.ru можно найти жесткий диск для виртуальных машин и заменить его созданным ранее нами.
В «Контроллере 1 IDE» устанавливаем «Файл изображения» и указываем расположение файла образа.
Запускаем виртуальную машину.
После этого можно отправлять установку Microsoft Windows 2006 R2 и Microsoft ForeFront Threat Management Gateway по умолчанию. Определяем сетевые адаптеры и назначаем IP адреса согласно конфигурации сети. ВНИМАНИЕ! На компьютере может быть определен только единственный Default Gateway. Обычно его назначают default gateway провайдера.
Этап 5. Настройка Microsoft Forefront Threat Management Gateway.
После первоначального запуска появится окно «Started Wizard». Также его можно запустить через «Launch Getting Started Wizard»
В настройках «Network Template selection» выбираем «3-Leg perimeter»(трехногий периметр), который позволит ограничить и создать ДМЗ. Нажимаем «Далее».
В окне «Local Area Network (LAN) Setting» выбираем сетевой адаптер, который подключен к внутренней локальной сети.
В окне «Internet Setting» выбираем сетевой адаптер, подключенный к провайдеру.
В окне «Perimeter Network Setting» определяем сетевой адаптер, подключенный к серверам в ДМЗ. Далее необходимо выбрать тип доверия к данной сети. Он может быть либо Public(публичный), когда на серверах находящихся в ДМЗ будет настроена маршрутизация без использования NAT, либо Private (приватный), когда будет настроена маршрутизация с использованием NAT. Данный режим определятся уровнем доверия к сети ДМЗ. Режим Private позволит в полной мере защитит вашу сеть от видимости со стороны ДМЗ, но могут возникнуть проблемы с настройкой правил доступа.
В этой статье было показано каким образом можно настроить 3-leg периметр. К сожалению, в рамках данной статьи невозможно показать полную настройку Microsoft Forefront Threat Management Gateway для организаций, так как для каждой организации будут существовать свои правила доступа и отношения между сетями и пользователями, которые описаны в политике безопасности.
Васильев Денис
Большинство сказанного ниже в равной степени относится как к TMG (Threat Management Gateway 2010), так и к ISA 2006.
Многое в этих микрософтовских произведениях можно понять, многое увидеть и разобраться, глядя на графический интерфейс, но некоторые вещи необходимо просто знать, иначе ничего не заработает.
Ресурсов для ТМГ, как и для любого продукта микрософт, требуется несуразно много. ЦПУ — не меньше 4 ядер, больше-лучше, (гипертрейдинг) HT — приветствуется, ОЗУ — не меньше 4 Гб, в нагруженных конфигурациях (до 12 000 клиентов) требуется до 12 Гб. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). В частности, на TMG 2010, к которому подключен 1 клиент, не обращающийся в данный момент к интернету, монитор производительности показал загрузку 2 ЦПУ = 1…5 %, ОЗУ = 2.37 Гб.
Сервер TMG поддерживает 3 способа работы через него:
— Клиент TMG — специальная программа устанавливается на ПК (годится клиент от ISA 2006);
— Клиент Web-proxy — настройка клиентского приложения для работы через прокси;
— Клиент SecureNat — в свойствах TCP/IP в качестве шлюза по умолчанию указан сервер TMG.
Управление доступом на основании учетных записей (AD или на самом TMG 2010) возможно либо с использованием Клиента TMG либо клиентом Web-proxy. Последнее означает, что никакого специального клиента на ПК не ставится, а клиентское приложение умеет работать через прокси-сервер и на нем настроены в качестве proxy-сервера адрес и порт сервера TMG. Клиент SecureNat авторизацию НЕ поддерживает.
Правила доступа на сервер TMG проверяются последовательно сверху вниз. Как только запрос клиента подошел под одно из правил (по трем полям: Protocol, From, To), так просмотр правил прекращается, т.е. остальные — игнорируются. И если запрос не удовлетворяет полю Condition этого правила, то доступ клиенту не предоставляется, несмотря на то, что следом может идти правило, разрешающее такой доступ.
Пример . Пользователь с установленным клиентом ТМГ и шлюзом по умолчанию, настроенным на сервер ТМГ запускает программу Outlook 2010. Учетная запись этого пользователя входит в группу безопасности AD-Internet.
Правило 3 разрешает весь исходящий трафик для пользователей, входящих в группу AD-Internet. Но программа Outlook не сможет связаться с внешним почтовым сервером, потому что с настройками по умолчанию Клиент ТМГ НЕ перехватывает запросы Outlook, а клиент SecureNat не умеет авторизоваться, и не сможет доказать серверу TMG, что его пользователь входит в группу AD-Internet. Однако, почтовый протокол попадает под определение “All Outbound Traffic”, а направление «From: Internal, To:External» соответствует запросу клиента, и поэтому обработка правил прекращается именно на правиле №3.
Если правила 3 и 4 переставить местами, то Outlook работать будет, потому что правило 4 не требует авторизации. Другой способ — в правиле 3 (не перемещая его) ограничить список протоколов, например оставить только HTTP и FTP. Тогда запрос от программы Outlook не “зацепится” за правило 3 и проверка дойдет до правила 4, по которому клиент получит доступ.
Есть еще способ пробиться через правила рис.1. Вернемся к упомянутым выше настройкам по умолчанию . Клиент ТМГ не перехватывает запросы Outlook потому, что в настройках приложений (Application Settings) клиент ТМГ отключен.
В левом дереве консоли управления Forefront TMG узел Networking, в средней части закладка Networks, сеть Internal, на правой панели закладка Tasks, пункт Configure Forefront TMG Client Settings. (На ISA 2006: Configuration — General — Define Firewall Client Settings.)
Если изменить здесь значение с 1 на 0, то Outlook будет работать через ТМГ по правилу доступа №3, приведенному на рис. 1.
А теперь вопрос на засыпку: почему в конфигурации Рис.1 не ходят пинги?
Ответ . Ping соответствует по параметрам (Protocol, From, To) правилу №3, и по этому просмотр правил доступа прекращается именно на правиле №3. Но Ping не умеет авторизоваться, поэтому для него доступ запрещен. Можно, например, над правилом №3 сделать отдельное правило:
Протокол = PING
From = Internal или All Networks
To = External
Users = All Users
Как подключить аудитора (чужака) к Интернету
Предполагается, что у аудитора свой ноут и его в свой домен вводить не будем.
Способ 1 . Задать на его ПК IP-адрес из разрешенного диапазона (требуются права администратора на его ПК).
Способ 2 . В браузере указать Прокси: IP-адрес и порт своего ТМГ. Предварительно на ТМГ сделать локальную учетку и дать её аудитору. Оптичить Basic в вариантах авторизации.
Параметры адаптеров
(в трехзвенной архитектуре):
|
должен быть |
|||
|
внутренний сервер |
|||
|
Register this connection’s address in DNS |
|||
|
NetBIOS over TCP/IP |
|||
|
Client for Microsoft Network |
|||
|
File and Print Sharing for Microsoft Networks |
|||
|
Show icon in notification area when connected |
Int — внутренний (смотрит в локальную сеть), Per — сеть периметра (она же DMZ), Ext (внешний, подключен к интернету непосредственно или через другое оборудование).
Обратите внимание : Отключение ‘File and Print Sharing for Microsoft Networks’ на внутреннем интерфейсе ISA сервера не позволит подключаться к общим папкам (шарам) этого ISA сервера, независимо от системной политики или каких-то других правил доступа. Это рекомендуется для лучшей безопасности, т.к. общим папкам совершенно не место на фаерволе.
Порядок соединений
(в окне Network Connections меню Advanced — Advanced Settings — вкладка Adapters and Bindings):
— Int,
— Per,
— Ext.
На днях озадачились, и решили пересадить всех юзеров на проксю в TMG. Решил на виртуалке опробовать данный процесс.
Стандартные функции TMG клиента
- Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
- Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
- Упрощенная настройка маршрутизации в больших организациях
- Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.
Системные требования
TMG клиент имеет некоторые системные требования:
Поддерживаемые ОС
- Windows 7
- Windows Server 2003
- Windows Server 2008
- Windows Vista
- Windows XP
Поддерживаемые версии ISA Server и Forefront TMG
- ISA Server 2004 Standard Edition
- ISA Server 2004 Enterprise Edition
- ISA Server 2006 Standard Edition
- ISA Server 2006 Enterprise Edition
- Forefront TMG MBE (Medium Business Edition)
- Forefront TMG 2010 Standard Edition
- Forefront TMG 2010 Enterprise Edition
Настройки TMG клиента на TMG сервере
Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.
Рисунок 1: Параметры TMG клиента на TMG
После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.
В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.
AD Marker
Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.
Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.
Инструмент TMGADConfig
Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:
Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat
Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.
Установка TMG клиента
Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.
Начните процесс установки и следуйте указаниям мастера.
Рисунок 3: Установка TMG клиента
Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.
Рисунок 4: Выбор компьютера для установки TMG клиента
Расширенное автоматическое определение
Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.
Рисунок 5: Расширенное автоматическое определение
Уведомления HTTPS осмотра
Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.
Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).
Установку Windows Server в виртуальную машину мы рассматривали в статье:
Так-же нам потребуеться виртуальная машина с настроенным DNS сервером (мы используем Windows Server 2008 R2 с установленным DNS сервером)
и одним внутренним интерфейсом (тип Внутренняя сеть).
После загрузки файла дважды нажмите на нем, откроеться мастер установки:
Ждем пока распакуеться:
После распаковки файлов вы увидите приветственную страницу:
Нажимаем "запустить средство подготовки", откроеться окно:
Принимаем лицензионное соглашение:
Вводим имя пользователя и организацию:
Откроется окно выбора сетевой платы (выбираем плату внутренней сети):
По окончании мастера установки, в открывшемся окне ставим галку "запустить програму управления":
Появиться веб-страничка об успешной установке и окно мастера начальной настройки:
В мастере нажимаем "настройка параметров сети", откроеться мастер настройки сети:
Указываем сетевую плату внутренней сети:
Указываем сетевую плату внешней сети(на скриншоте установлен DNS 192.168.137.1 - это не правильно, DNS-сервер должен быть один на вутренней сети, а сдесь графа DNS-сервера должна быть пустой):
Проверяем правильность:
В открывшемся мастере начальной настройки нажимаем "настройка системных параметров":
В открывшемся мастере пока оставляем все как есть:
Сдесь мы устанавливаем настройки обновления:
Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт:
На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее:
На этом действии работа мастера первоначальной настройки завершена:
Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов:
На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений:
После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG.
Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки:
На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет:
Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик:
Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена:
Все проверяем:
На этом первоначальная настройка завершена.
